Comments 134
Здравствуйте, Ira Sh
ecla[вырезано]pils@rambler.ru
И у вас этот user?
ecla[вырезано]pils@rambler.ru
И у вас этот user?
Каждый раз рандоино.
Да уже заметил.
Спамеры могут собрать кучу адрессов написав крохотный скрипт.
Спамеры могут собрать кучу адрессов написав крохотный скрипт.
Тут уже дело не в спамерах, а в том что можно взломать практически любой рандомный аккаунт.
Именно то, что аккаунт случайный, делает угрозу весьма незначительной.
А Вам было бы приятно, если бы Ваш аккаунт там выпал?
>А Вам было бы приятно...
Кстати, Вам бы было приятно узнать, что хабраюзер ShamanWild является тем самым,
кто барыжил аккаунтами на хабр не так давно?
информация предоставлена небезызвестным человеком-гуглом cypa.
Кстати, Вам бы было приятно узнать, что хабраюзер ShamanWild является тем самым,
кто барыжил аккаунтами на хабр не так давно?
информация предоставлена небезызвестным человеком-гуглом cypa.
Массовый захват ящиков ни к чему хорошему не приведет. Помимо утечки данных существует большая вероятность того, что будет проспамлена вся адресная книга вредоносной программой, ложные сообщения о займе денег и т.д.
Собрали базу из логинов которые используются часто в качестве пароля, размером в 10 мб чистого текста. А ещё по мимо этой баги, можно было проникнуть в любую почту которая рандомно выпала из этой баги, но как сказано выше — всё прикрыли.
Нет. Попробуйте обновить страницу.
Ох ребята и учудили :)
Если почитаете некотоыре форумы, уже выложили алгоритм и скрипты (:
soblaznitelnaja-gracioznaja
я в шоке от того, что иногда выходит
я в шоке от того, что иногда выходит
администрация рамблера поставлена в известностьНасколько давно? Возможно, следовало просто немного подождать, а не возбуждать юных хацкеров? :)
пипец )
ППЦ!
А upd можно было не писать, кто в теме и сам поймет, а так теперь другие начнут искать.
А upd можно было не писать, кто в теме и сам поймет, а так теперь другие начнут искать.
А какой из этого следует вывод для юзеров рамблера? Им «не заходить в веб-интерфейс, пока не пофиксят» (чтобы не было их сессии активной)?
Я еще на всякий случай скопировал все письма на гмэйл и удалил с ящика рамблера. Как пофиксят так вернусь :)
Бежать с таких сервисов и юзеров уводить, это очевидно.
Там еще и поле заполняется помимо того что в правом верхнем углу:
1010101.ru/spam/2009-06-28-20-3536.png
1010101.ru/spam/2009-06-28-20-3536.png
давайте лучше поможем пользователям рамблера — пусть каждый заходящий на эту страницу нажмет «выйти» под адресом того случайного человека, тогда его сессия закроется и может быть он не попадет в базу спамеров.
Порефрешил, и тут мне вывело:
Ваш новый номер ICQ: 553566964
Вот спасибо =)
Блин, это что долбят программеры рамблера, что бы такое делать?
Ваш новый номер ICQ: 553566964
Вот спасибо =)
Блин, это что долбят программеры рамблера, что бы такое делать?
нда… хорошо, что у меня акка на рамблере нету.
Знамо дело — выходной. А с дому зайти и починить запрещает политика безопасности компании.
Ну это, естественно, только мои догадки.
Ну это, естественно, только мои догадки.
В крупных компаниях обычно используется VPN для этих целей
Даже в некрупных используется
Я имел ввиду «нельзя» в административном порядке.
Т.е. даже такие вот критические баги фиксить административно нельзя?
Сомневаюсь, чтобы в рамблере так было. Очень уж это совковая бюрократия, чесслово.
Скорее, программисты на дачах и на речке, не могут их дозваться :)
Сомневаюсь, чтобы в рамблере так было. Очень уж это совковая бюрократия, чесслово.
Скорее, программисты на дачах и на речке, не могут их дозваться :)
Можно просто закрыть скрипт на это время силами админов. Должны быть дежурные админы. Лучше невозможность восстановить пароль, чем уведенный ящик. Если окажется еще что у них не ведутся логи/архивы и уведенные пароли никак не восстановить, то это будет 100% фиаско рамблера, как почты.
Я подозреваю что скорее «администрация рамблера поставлена в известность» означает что отправлено письмо в саппорт, а вот саппорты как раз по выходным не работают.
Я подозреваю что скорее «администрация рамблера поставлена в известность» означает что отправлено письмо в саппорт, а вот саппорты как раз по выходным не работают.
Мда уж, никгда к рамблеру дверия не был, а теперь и подавно.
Еле открывается уже, задосили опять :)
«опять я тырнет не понимаю, в рамблере пытаюсь завести ящик, а там в правом верхнем углу ко мне обращаются величая разными именами с разными ящиками, кто подскажет это вообще что за муть ?»
beatr1che.livejournal.com/17605.html
поможем? :-)
beatr1che.livejournal.com/17605.html
поможем? :-)
id.rambler.ru/script/newuser.cgi
О как, еще не успел представиться…
P.S.
Может это прикол такой (с трудом верится)?
О как, еще не успел представиться…
К сожалению, на Рамблере уже есть пользователь @rambler.ru. Вы можете выбрать себе другое имя, или воспользоваться именами из предложенных ниже.
pizdasos4
pizdasos2009
pizdasos09
pizdasospizdasos
pizdasos-pizdasos
pizdasos.pizdasos
Если пользователь @rambler.ru — Вы, и Вы просто забыли пароль, воспользуйтесь службой восстановления паролей.
P.S.
Может это прикол такой (с трудом верится)?
Удобно, при обновлении страницы по сути нам для базы предоставляю сразу два ящика справа-вверху ну и прямо перед глазами.
Удивительно что такой ахтунг висит уже 3-ий час. В Москве сейчас пробки? =)
Такое должны фиксить за 10 минут, даже если в гондурасе пьют кофе. Охранникам блин позвонить и рассказать что надо сделать.
Такое должны фиксить за 10 минут, даже если в гондурасе пьют кофе. Охранникам блин позвонить и рассказать что надо сделать.
млин, просто офигеть. неужели они не могут хотя бы доступ закрыть к скрипту?
левой ногой написал скрипт, посмотрим сколько успеет насчитать, пока дыру не закроют. потом отпишусь сколько насчиталось.
считать начало в 21:26.
левой ногой написал скрипт, посмотрим сколько успеет насчитать, пока дыру не закроют. потом отпишусь сколько насчиталось.
считать начало в 21:26.
Позвольте поинтересоваться, зачем Вам понадобилась эта база?
мне она не нужна. просто интересно сколько насчитается на момент закрытия бага. для статистики.
я имена, кстати говоря, не пишу, только email адреса.
я имена, кстати говоря, не пишу, только email адреса.
Для статистики можно не писать и email адреса, а писать только +1
согласен, не ругайтесь только.
но если потом выснится, что выводились только определенные email'ы, к примеру, из закешированных за последние 6 часов, а также выяснится, что пароли и явки тоже уплыли, то у меня будет база и я смогу разослать попавшим в список людям письмо о том, что их аккаунт попал под раздачу.
благой порыв? (:
но если потом выснится, что выводились только определенные email'ы, к примеру, из закешированных за последние 6 часов, а также выяснится, что пароли и явки тоже уплыли, то у меня будет база и я смогу разослать попавшим в список людям письмо о том, что их аккаунт попал под раздачу.
благой порыв? (:
видимо для отсева дубликатов
кстати, адреса почты очень часто повторяются.
Нельзя — надо проверять потом на уникальность.
Ну что, сколько?
статистика такова:
начал делать запросы в 21:26, починили в 22:28, т.е. за 62 минуты данные.
запросов к серверу, на которые я получил ответ с email'ом 14332, из них уникальных email'ов 1532, т.е. почти каждый десятый.
чаще всего были получены уникальные email адреса, но есть и такой, который попался 390 раз.
вот в графике (на бар-чарте: полосочки — количество email'ов от общей массы, «повторяется раз» — сколько раз повторилось, явно видно, что большинство email'ов были уникальными):
начал делать запросы в 21:26, починили в 22:28, т.е. за 62 минуты данные.
запросов к серверу, на которые я получил ответ с email'ом 14332, из них уникальных email'ов 1532, т.е. почти каждый десятый.
чаще всего были получены уникальные email адреса, но есть и такой, который попался 390 раз.
вот в графике (на бар-чарте: полосочки — количество email'ов от общей массы, «повторяется раз» — сколько раз повторилось, явно видно, что большинство email'ов были уникальными):
а бывает ещё интереснее:
Чем именно это интереснее?
я несколько раз обновлял страницу, и только 1 раз выпала возможность изменить пароль
Насколько я понял, это уже СМЕНА ПАРОЛЯ клиента. Проще говоря, увод ящика.
А про одного юзера сейчас вот такое сказало:
<p class=«txt_error»>
Слишком много запросов на восстановления пароля
</p>
<p class=«txt»>
Нами зарегистрировано слишком много запросов к системе восстановления пароля от Вас.
Пожалуйста, сделайте перерыв на несколько часов и попытайтесь вспомнить точно ответ на вопрос.
</p>
Будет очень смешно и грустно если оно проживет до утра понедельника.
По-моему, смешно перестало быть и стало грустно уже час как :(
рамблер — это всегда грустно :(
Этот баг выложили еще днем в 13:16 на Злом — forum.zloy.org/showthread.php?t=84704
Народ там уже давно развлекается уводом асек и аккаунтов от разных сервисов
Народ там уже давно развлекается уводом асек и аккаунтов от разных сервисов
Я тут не причем!!!
OMG, какой стыд!
«Разобраться. Наказать виновных. Доложить в трехдневный срок»!
«Разобраться. Наказать виновных. Доложить в трехдневный срок»!
вот это жесть!!!
вот поэтому я не пользуюсь бесплатными почтовиками.
вот поэтому я не пользуюсь бесплатными почтовиками.
Пофиксили
Нда… Что-то Рамблер как-то стал часто допускать подобные ошибки. Обидно.
Пофиксили, кстати.
Пофиксили, кстати.
Вроде, пофиксили уже.
Вроде исправили!
А, пофиксили? А я нажал «выйти» и расстроился, что больше не появляются.
Да вы что, это место свято!
а я читал частенько, до смены дизайна главной страницы, стал бред такой. Поэтому только компьюленту щас смотрю…
Не обманывайте людей.
Ну или кто-то умный уже сменил пароль.
Или (самое невероятное) — пофиксили.
Ну или кто-то умный уже сменил пароль.
Или (самое невероятное) — пофиксили.
пофиксили, я логинился прекрасно, потом вышел сразу так-как уважаю сие издание.
Не обманываю, подходит любой логин/пароль из форума.
статистика такова:
начал делать запросы в 21:26, починили в 22:28, т.е. за 62 минуты данные.
запросов к серверу, на которые я получил ответ с email'ом 14332, из них уникальных email'ов 1532, т.е. почти каждый десятый.
чаще всего были получены уникальные email адреса, но есть и такой, который попался 390 раз.
вот в графике (на бар-чарте: полосочки — количество email'ов от общей массы, «повторяется раз» — сколько раз повторилось, явно видно, что большинство email'ов были уникальными):
начал делать запросы в 21:26, починили в 22:28, т.е. за 62 минуты данные.
запросов к серверу, на которые я получил ответ с email'ом 14332, из них уникальных email'ов 1532, т.е. почти каждый десятый.
чаще всего были получены уникальные email адреса, но есть и такой, который попался 390 раз.
вот в графике (на бар-чарте: полосочки — количество email'ов от общей массы, «повторяется раз» — сколько раз повторилось, явно видно, что большинство email'ов были уникальными):
отправил полученный список email'ов в Rambler. может быть пригодится им или смогут вернуть утраченные аккаунты владельцам.
так же попросил их осветить проблему или хотя бы дать комментарий по этому поводу.
на спам-ресурсах говорят, что смогли собрать почти миллион адресов. уже продаются даже.
так же попросил их осветить проблему или хотя бы дать комментарий по этому поводу.
на спам-ресурсах говорят, что смогли собрать почти миллион адресов. уже продаются даже.
Мне интересно, получит ли по шапке программист, допустивший такой ляп?
Почему-то это никто до сих пор не прокоментировал…
Что самое интересное глючить Рамблер стал после смерти создателя Дмитрия Крюкова
Что самое интересное глючить Рамблер стал после смерти создателя Дмитрия Крюкова
Sign up to leave a comment.
Rambler bug