Пару лет назад Mail.RU купила сервис ICQ. Результат – теперь все, что вы когда-либо пересылали по аське – доступно для скачивания любому пользователю сети! ВООБЩЕ ВСЕ! Почему?
Давным давно, когда один пользователь аськи пересылал другому какой-то файл, их клиенты соединялись друг с другом напрямую через интернет и осуществляли передачу. Сейчас при пересылке файла сам файл закачивается на сервера, принадлежащие Mail.RU, а получателю отправляется только ссылка на такой файл. Ссылка выглядит как "http://files.icq.net/files/get?fileId=XXXXXX", где XXXXXX – это набор букв и цифр, указывающих на файл. Скачать конкретный файл можно, только в точности зная эту последовательность. Безопасно? Нет. Файлы по аське пересылают миллионы людей, и даже указывая случайные комбинации, можно легко получить доступ к файлам случайных пользователей.
Фактически ВСЕ, что вы передавали по аське – доступно любому пользователю интернета. "Но ведь не зная правильной ссылки нельзя скачать мои файлы? Кококо!" – удивятся пользователи аськи. Можно, если например выкачивать вообще все файлы подряд. Именно этим занимается специальный java-скрипт, который сегодня появился в интернете. Он создан анонимно и лишь с одной целью – скачать ВАШИ файлы. Результат часовой работы скрипта – полтора гигабайта фотографий. Покажу некоторые из них.Кстати, я – не мэил.ру, поэтому все лица, номера, и прочие компрометирующие детали на фотографиях замазаны. Если вы вытянули лотерейный билет и обнаружили себя на фотках – напишите мне на почту tima собака tima.me и я немедленно удалю фотографию.
(чей-то отдых)
Ну и частное ню, куда же без него. Забегая вперед, скажу что среди картинок, которые выдают сервера мэйла – частного порно ПРОСТО ДО**ИЩА. Члены, вагины, сиськи во всех возможных конфигурациях. Детское порно и всякие извращения тоже встречаются.
Очень много докуметов. Вот здесь чья-то транспортная накладная. Иногда конкуренты готовы заплатить очень много за подобную информацию, а тут все на блюдечке, пожалуйста, все для людей, очень удобно!
Скрин с какой-то игры. Непонятно почему, но скрины с компьютерных игр – самая частовстречающаяся категория изображений. Даже чаще, чем порно
Котик
(коллекцию фото можно посмотреть в блоге Тимофея Васильева)
Вот это все – совершенно случайные фотографии людей, которые воспользовались опцией передачи файлов в аське. Доступ к ним может получить абсолютно любой человек. Единственная возможность защитить свою информацию – не передавать файлы по аське!Внимание! Дальнейшая информация предназначена только для установления факта публикации собственных файлов! Не используйте ее для каких-либо противозаконных действий.
Скрипт можно скачать по адресу rghost.ru/42926385
Исходный код скрипта pastebin.com/n1qpNM4y
Анон доставил исправленную версию скрипта, которая качает напрямую с files.mail.ru: http://rghost.ru/42958683
Запускать с помощью команды "java -jar ifs.jar".Авторство программы неизвестно, так что благодарить некого. Авторство дыры, позволяющей смотреть чужие фотографии известно – спасибо Mail.RU! Удивительно, как можно было придумать настолько кривой способ файлообмена.
Самое страшное, что под удар попадают без преувеличения миллионы людей, пользующихся сервисом. Они доверили ему свою частную жизнь, свои секреты и тайны. И все прахом, только потому что кое-кто срать хотел на такие вещи, как безопасность и приватность. Батхерт по всей стране. И все это – MAIL.RU. Национальная почтовая служба!
UPD1! У квипа такая же дыра, но последовательность символом больше на два знака и учитывается регистр букв, и сервис не позволяет скачивать напрямую. Сейчас еще уточню детали.
UPD2! Кажется мы немного уронили серваки мэйла :) ой :)
UPD3! Нет, все-таки дыра се еще на месте и серваки работают. Проблемы с доступом проявляются периодически, возможно только для некоторых подсетей, так что смело качайте скрипт и проверяйте свои фотографии на доступность. Самые интересные можно выложить в каменты.
UPD4! Все, разобрались. Мэйловцы тупо удалили DNS-запись сервера files.icq.net, но если заменить его на files.mail.ru – ВСЕ РАБОТАЕТ! Ахахаха, какие же там дибилы сидят.
UPD5! Анон доставил новую версию скрипта, который качает напрямую с мейла. Все работает: http://rghost.ru/42958683
UPD6! Кажется, files.mail.ru тоже все. Если у вас не работает скрипт, попробуйте про прописать адреса серверов напрямую в hosts.
© ntv.
Внимание! Данная статья была написана более полугода назад, актуальность материала и состояние жизни ссылок не гарантируется! Воспользуйтесь дополнительными параметрами для поиска необходимого вам контента! Приносим свои извинения...