Все файлы пользователей ICQ находятся в открытом доступе

Если вы пользователь ICQ и когда-то передавали файлы через сервис мгновенных сообщений – эти файлы доступны всем.

Все файлы пользователей ICQ, которые те передавали в своих сообщениях, до утра сегодняшнего дня можно было свободно скачать ссервераICQ по адресуhttp://files.icq.net/files/get?fileId=XXXXXX, где XXXXXX – название файла. Доступ к файлам ограничивался всего лишь 6-значним ключом, состоящим из заглавных букв и цифр. Об этом написал настраницесвоего ЖЖ блоггер под ником ntv.

Таким образом, легко предсказуемую ссылку на файлы можно было сгенерировать простым сценарием и заполучить доступ к файлам пользователей. Среди обнаруженных на сервере файлов оказались довольно компрометирующие изображенияпорнографическогосодержания, копии различных документов, личные фотографии и пр.

Подобным образом были доступны все файлы, загруженные через интерфейс files.mail.ru.

Администрация mail.ru оперативно отреагировала на появление подобной информации в публичном доступе и закрыла доступ кдоменуfiles.icq.net. При этом файлы ещеоставалисьдоступными некоторое время через домен files.mail.ru.

Доступ к файлам с привязкой к владельцу файла (ФИО, номер ICQ) доступен по адресу:http://files.mail.ru/XXXXXX, а предварительный просмотр файлов доступен по ссылкам:http://files.mail.ru/XXXXXX?t=1

Следует отметить, что с подобными проблемами сталкиваются многие контент-провайдеры. Например, относительно недавно каждый желающий мог аналогичным образом подобрать ссылку и просмотреть файлы пользователей сервиса CloudApp.

Комментарий от пресс-службы Mail.Ru Group

"На самом деле мы максимально быстро перекрыли все возможные действия вредоносного скрипта, написанного для перебора ссылок, а также оперативно заблокировали все его модификации, тиражируемые злоумышленниками в блогосфере.

Доступ по старым коротким ссылкам отключен и включаться не будет. Работа сервиса по передаче файлов сейчас функционирует в рабочем режиме – теперь генерируются более безопасные длинные ссылки, обеспечивающие надежную защиту передаваемой информации"

Подробнее:http://www.securitylab.ru/news/436083.php

Читайте еще

Европол предупреждает об опасности использования общественного Wi-Fi	Россиян обяжут предоставлять паспортные данные для скачивания контента через торренты	Tripwire: 80% домашних маршрутизаторов беззащитны перед хакерами