Студент | Не так уж и давно компания Mail.Ru выкупила права на владение сервисом обмена сообщениями ICQ. После этого были внесены определенные изменения в систему передачи файлов от пользователя к пользователю через мессенджер. Так, ранее данные отправлялись непосредственно к получателю, то есть напрямую. Теперь же файл сперва загружается на сервер сервиса, после чего получатели скачивают его при помощи публичных ссылок. У всех ссылок имеется стандартный вид, отличающийся лишь комбинациями из шести цифр и символов в конце. Достаточно получить адрес такой ссылки, чтобы полностью обеспечить себе доступ к файлам. Сервис не предлагает никаких средств для ограничения доступа сторонним пользователям. Отмечу также, что генерируемая составляющая ссылок содержит всего лишь шесть символов. Это, в свою очередь, открывает еще одну важную проблему. Дело в том, что любой желающий имеет возможность получить доступ к передаваемым ранее данным через "аську", используя обычную методику подбора комбинаций. Если осуществить простые математические расчеты, то становится ясным, что всего доступно порядка двух миллиардов различных комбинаций. Об утечке сообщил один из пользователей ЖЖ. По его словам, на данный момент создана и активно используется программа, написанная на языке Java. За счет нее осуществляется подбор ссылок, генерируемых случайным образом. Используя уязвимость в мессенджере, программе удается открывать случайные ссылки и скачивать оттуда данные. Основное количество ссылок не открывается, или же ведет на скачивание больших файлов, получить которые в итоге не удается. Тем не менее, определенная доля получаемых ссылок открывает доступ к файлам, которые были ранее отправлены кем-то из пользователей ICQ. В основном это картинки и личные фотографии. |