В хорошо известном IM-мессенджере ICQ, с 2010 года принадлежащем компании Mail.ru, обнаружили здоровенную дыру в безопасности. Оказывается, файлы, которые пересылаются через этот мессенджер, могут легко заполучить сторонние лица.
Все дело в том, что с некоторых пор в ICQ файлы передаются от отправителя получателю не напрямую, а сохраняется на один из серверов Mail.ru, получателю отправляется ссылка на файл, тот его скачивает. Сам файл никуда не девается с сервера, как, разумеется, и ссылка. Зная ссылку ("http://files.icq.net/files/get?fileId=XXXXXX") можно заполучить в свои загребущие ручки вожделенный Ответ на главный вопрос жизни, вселенной и всего такого, если только его догадаются передать с помощью аськи в виде файла. Конечно, некоторую трудность вызывает неизвестность на какую именно последовательность букв и цифр надо заменить "XXXXXX" в URL. Но это не остановит любознательного исследователя, например, в сети уже доступен java-скрипт, который просто скачивает файлы подряд.
В качестве доказательства существования этой дыры пользователь ЖЖ ntv опубликовал огромную галерею фотографий, выкачанных за полтора часа работы скрипта. Любопытные могут полюбопытствовать, узнавшие на фото себя - написать автору блога и попросить удалить компромат из поста. Также ntv отмечает, что Mail.ru, судя по всему, уже начала работать над проблемой - сначала была удалена DNS-запись сервера files.icq.net, однако при замене на files.mail.ru "хак" продолжал работать. Затем перестала работать и эта лазейка, но в сети уже появилась версия скрипта, работающего с серверами напрямую. В данный момент администраторы серверов владельцев ICQ соревнуются в находчивости и скорости со скриптописателями - очередной новый скрипт через некоторое время перестает работать, но затем появляется следующий. Главное, что пока не изменился сам принцип работы передачи файлов в мессенджере.
С разъяснением по поводу этой ситуации мы обратились в адрес компании Mail.Ru Group. Вот, что нам ответили в пресс-службе:
- На самом деле мы максимально быстро перекрыли все возможные действия вредоносного скрипта, написанного для перебора ссылок, а также оперативно заблокировали все его модификации, тиражируемые злоумышленниками в блогосфере.
Доступ по старым коротким ссылкам отключен и включаться не будет. Работа сервиса по передаче файлов сейчас функционирует в рабочем режиме – теперь генерируются более безопасные длинные ссылки, обеспечивающие надежную защиту передаваемой информации.