Файлы, которые пересылались по ICQ находились в свободном доступе
Все файлы и пользователей QIP и ICQ, которые передавались в сообщениях, до утра двенадцатого декабря можно было абсолютно свободно загрузить с сервера ICQ.
Все дело в том, что с определенных пор, файлы к получателю от отправителя передаются не напрямую, а сохраняются на один из серверов, принадлежащих холдингу Mail.ru GROUP, которой принадлежит указанный сервер мгновенных сообщений. Получателю отправляется ссылка на файл, а тот по ней его скачивает. Сам же файл так потом и остается на сервере.
Доступ к файлам ограничивается только шестизначным ключом состоящим из цифр и заглавных букв. Первым об этом факте написал ЖЖ блоггер, зарегистрированный под ником ntv, он же Васильев Тимофей.
Таким образом, легко предсказуемую ссылку на определенные файлы можно было сгенерировать примитивным скриптом и заполучить доступ к пользовательским файлам.
В качестве доказательства существования данной дыры Васильев опубликовал большую галерею фотографий, выкаченных с сервера.
Среди обнаруженных на сервере файлов были и довольно компрометирующие изображения эротического и порнографического содержания, личные фотографии и копии всевозможных документов.
Таким вот нехитрым образом можно было скачать все файлы, загруженные посредствам интерфейса files.mail.ru.
Администрация Mail.ru быстро отреагировала на появление такой информации в публичном доступе и закрыла доступ к домену files.icq.net. При этом все файлы еще некоторое время оставались доступными через домен files.mail.ru.
С такого рода проблемами время от времени сталкиваются многие провайдеры. К примеру, относительно недавно любой желающий мог подобным образом подобрать ссылку и посмотреть файлы пользователей достаточно популярного сервиса CloudApp.
Related Images:
Главный редактор “Россия-онлайн”
Ссылки на автора:
