ICQ, новые функции — новые дыры

Здравствуй, дорогой друг, я сразу попрошу у тебя прощения, так как мне всегда сложно писать вступление и поэтому оно будет немного жидким.

Итак:

Как показывает время, в ICQ с введением какой-либо новой функции открывается новая брешь в безопасности, взять хотя бы эту статью:

«Html-инъекция на страницах icq.com»

Взяв это за основу я начал свой research.

Что же нового в ICQ?

Внимательные пользователи с лёгкостью ответят на этот вопрос: «привязка номера ICQ к мобильному номеру своего телефона».

А вот какие функции при этом появились:

— Восстановление пароля через код высылаемый на мобильный.
— Логин(вход в ICQ) через код высылаемый на мобильный.
— Регистрация нового пользователя через код высылаемый на мобильный.

Начал я конечно же с восстановления пароля.

При вводе номера телефона привязанного к ICQ номеру на странице восстановления пароля www.icq.com/password мы видим страничку на которой нам будет предложено вести код который пришёл на мобильный, а также новый пароль.

При этом адрес данной страницы выглядит примерно так:

https://www.icq.com/password/resetcode/D5DCBDBAF629FE4A07FB8C790E9F9A6535A1FD2DCD78093E71C892844953EC82/ru


Данная ссылка живёт около 24 часов.

Самый важный кусок ссылки состоит из двух частей:

— Первый это или зашифрованная сессия или сам номер:

   D5DCBDBAF629FE4A07FB8C790E9F9A65


— Второй вообще непонятно что, абсолютно ни на что не влияющее. Этот кусок можно заменить на любой набор букв и цифр или даже просто обрезать:

   35A1FD2DCD78093E71C892844953EC82


А теперь вернёмся к тому что ссылка живёт около суток…

При восстановлении пароля через мобильный нам приходит код состоящий ИЗ ПЯТИ ЦИФР!

Первые тесты показали, что ограничений на ввод кода не было, но это было немного ошибочно. При вводе неверного кода страничка с ответом содержала картинку забавной улиточки и надпись «Ссылка, которую вы используете, уже устарела...»

image

При вводе верного кода страничка с ответом сообщала нам что пароль был успешно сменен:

image

Вводя код вручную в браузере, бана невозможно было добиться, но автоматизировав этот процесс я увидел что бан наступал после пяти попыток, это был бан именно на ввод кода с одного IP и ссылка при этом не умирала. При бане страничка с ответом содержала коровку и надпись «К сожалению, вы слишком часто повторяете однотипное действие. Попробуйте делать это реже.»

image

Недолго думая я обратился к своему товарищу и он реализовал данную уязвимость в софте, который он ласково назвал «5digger», далее узнаете почему… Софт работал через proxy и поэтому бан по IP нам был не страшен ;)

Итак, у нас есть довольно серьёзная дыра, но как же нам узнать номер телефона жертвы? Над этим нам немного пришлось поломать голову.

Помогла нам программа собирающая базы номеров и содержимого из их «инфо». Называется она «ICQ Search Info» автор .fry Данная программа каким-то непонятным мне образом видела номера телефонов владельцев, которые они указали в своей информации и которые по дефолту скрыты.

Мы сразу же принялись сканировать пятизнаки. В итоге у нас получилась небольшая база uin;phone. К нашему сожалению она содержала кучу мусора, а также реальные номера владельцев, но при этом не привязанные к их номеру ICQ.

Так как мы люди ленивые, я принялся искать форму через которую можно было проверить номер на регистрацию в ICQ. Как бы это не было банально, таковой оказалась форма регистрации: www.icq.com/join/ru

Простым запросом я смог быстро проверить свои номера:

GET  http://icq.com/join/send_sms_code/ru?msisdn=<phone>


Ответ сервера если номер незарегистрирован в icq сожержал такой вот набор символов:

"status":200,"statusText":"Ok"


Получив валидную на 100% базу uin;phone я принялся за дело. Для начала я удалил все строки содержащие в себе русские номера, а именно начинающиеся на (+7)

Жертвами стали бывшие админы ICQ и их друзья с номерами телефонов начинающихся на (+9725), а также просто номера неизвестных иностранцев, хочу заметить, что первоначальная база содержала чуть меньше 10 строк…

Как только мы сменили пароль на первом админском номере которым оказался номер Avi Zrachya (это бывший админ ICQ из Израиля), а именно 34567, мы увидели что в его контакт-листе был просто невероятный порядок… В основном его контакт-лист состоял из его коллег и друзей. При этом все ники из «инфо» были заменены на реальные имена и фамилии, а также во многих номерах в «дополнительной информации» которую он самолично заполнил был виден номер телефона. Особенно меня порадовали группы «Asechka.ru», где были несколько моих товарищей, а также группа «Hackers», где был небезызвестный кроб хТ.

В итоге я вытащил все номера телефонов проверил их уже описанным выше способом и дополнил свою базу, на этом всё не закончилось. Оказалось что у всех админов контакт-лист был примерно в одинаковом состоянии и из каждого мы смогли вытащить новые уникальные номера телефонов. Думаю дальнейшие наши действия и результат не стоит вам описывать так как все могут и без этого догадаться. Хочу добавить только то, что все используемые номера быстро вернулись своим хозяевам и это составило довольно большой процент… Данную уязвимость очень забавно пофиксили. Для начала запретили смену пароля, а также восстановления пароля у номеров ниже 7 цифр (у шести и пяти знаков). А потом при вводе неверного кода стала появляться надпись «неверный код» и бан был уже не по IP, а по вводу кода от определённой ссылки.

А теперь вернёмся к кое-какой забавной вещи которую я заметил

Помните запрос, который я использовал для чека номеров на регистрацию? Так вот, лимита на отправку смс на один номер НЕ БЫЛО! Данная фича была сразу же реализована в флудер мобильных телефонов. Софт проработал около двух недель, а потом был введён лимит на отправку смс.

Продолжим!

На ввод кода подтверждения опять же не было лимита и при этом была возможность регистрировать огромные количества номеров без ввода капчи, и не имея при этом доступа к телефону указанному при регистрации. Для этого надо было собрать всего лишь переменную при отправке смс, которая называется «transid» т.е. собрать лист вида phone;transid, а дальше просто брутить (подбирать) коды по этому листу и постепенно регистрировать номера. Данная уязвимость возможно и сейчас есть, так как на момент написания статьи я её не проверял.

Теперь расскажу вам о функции логина через код высылаемый на мобильный

При вводе кода через сайт высылался или пяти или шести значный код подтверждения и пробовать подбирать его было немного геморно, учитывая то, что я уже нашёл такую же функцию только немного в другом месте. В клиентах ICQ 7M и ICQ 8 есть эта функция и при вводе мобильного там высылается 4 символьный код, подобрав который, вы получите все переменные для логина, точно уже не помню все их названия, помню только главную «sessionid». Данную уязвимость не стали реализовывать, так как не смогли разобраться с подписью запросов, но было бы забавно, если бы в один день в инфо нескольких десятков «элитных» номеров появилась шуточная надпись: «Hacked by Gay Nork Crew special for Asechka.ru»

Ну и напоследок ещё одна забавная фича

Если попытаться зайти с мобильного номера незарегистрированного в ICQ, код будет отправлен и при этом произойдёт регистрация нового номера. Так к чему я всё это?

Как только эта функция была введена, она работала так: этот самый четырёхзначный код устанавливался как пароль. Но продлилось это не долго, примерно с декабря 2012 до конца января 2013 года, представляете сколько номеров было зарегистрировано таким способом?

Немного поразмыслив я составил такую логическую цепочку: если номер зарегистрирован данным способом и имеет такой пароль, значит он не используется с момента регистрации → если номер не используется с момента регистрации значит дата последней смены информации о номере была примерно той же, что и дата регистрации!

К счастью всё тот же комбайн «ICQ Search Info» собирал базы вида uin;last profile update, собрав базу таких номеров, я прошёлся на пароли из диапазона 0000-9999 и увидел довольно симпатичные номера…

В данный момент, если регистрация номера производится данным способом, то пароль на него не устанавливается. Зайти на такой номер можно используя всё те же одноразовые четырёхзначные коды или просто установив пароль, пройдя процедуру «восстановления пароля» через мобильный телефон.

Вот такие вот интересности открыли нововведения в ICQ и я думаю подобного рода уязвимости довольно распространены. Если вдруг ваш сервис имеет данные функции, то обязательно проверьте их на «вшивость».
Share post

Similar posts

Comments 88

    +70
    ICQ еще жив?
    • UFO just landed and posted this here
        +19
        А XMPP останется протоколом для элиты. Вон, даже гугл способствовал!
          +11
          Самое забавное, что когда я решился наконец завести XMPP-аккаунт, то завел его на гугле с мыслью «ну там-то он точно не умрет». А через несколько месяцев… ну, вы понимаете.
            +1
            Нет, не понимаем. Уж если Вы не смогли предвидеть этого…
        +2
        Можно попробовать потыкать в ICQ палочкой.
          +13
          Лошадь сдохла – слезь!
          Казалось бы все ясно, но……
          Мы уговариваем себя, что есть еще надежда.
          Мы бьем лошадь сильнее.
          Мы говорим «Мы всегда так скакали».
          Мы организовываем мероприятие по оживлению дохлых лошадей.
          Мы объясняем что наша дохлая лошадь гораздо «лучше, быстрее и дешевле».
          Мы организовываем сравнение различных дохлых лошадей.
          Мы сидим возле лошади и уговариваем ее не быть дохлой.
          Мы покупаем средства, которые помогают скакать быстрее на дохлых лошадях.
          Мы изменяем критерии опознавания дохлых лошадей.
          Мы посещаем другие места чтобы посмотреть, как там скачут на дохлых лошадях.
          Мы собираем коллег, чтобы дохлую лошадь проанализировать.
          Мы стаскиваем дохлых лошадей, в надежде, что вместе они будут скакать быстрее.
          Мы нанимаем специалистов по дохлым лошадям.
            +2
            Сначала пытался прочитать как стих, потом понял, что это список действий…
          +24
          Пока скайп не научится отправлять сообщения в оффлайне — icq жив и будет жить.
          Из реально распространенных клиентов которые «есть у всех» это скайп и ася, остальные при всех достоинствах — нишевые по функционалу или по ЦА.
          По идее еще социалки, но к социалкам мы себя приучить не сумели, как не старались, поэтому ой:(
          Родной клиент аси юзаем на андроиде, на большом компе миранда — проблем никаких не наблюдаем в целом.
            –10
            А вы не в курсе.? Умеет он слать в оффлайн, и довольно давно. Википедия говорит, что со 2-го сентября 2010.
              +35
              Он вроде «умеет», а мне сообщения не приходят.
                +13
                Вы пользуетесь скайпом? Мы да.
                У Вас эта функция работает? У нас нет.
                Западные форумы говорят что фичу вводили в 5-ке, но долго она не прожила и сейчас отсутствует.
                  +9
                  Более того, текущий faq однозначно говорит, что сообщение будет доставлено только когда оба будут в онлайне.

                  Хотя в любом случае спасибо за информацию, она внушает надежду. Не знали что скайп пробовал такое вводить. Прелюбопытно.
                    +1
                    Попытка — это не релиз, к сожалению :(
                  +1
                  Уметь-то он умеет, но вот до получателя они дойдут только когда оба пользователя (и отправитель, и получатель) появятся в Сети.
                    +5
                    Причем отправитель должен зайти с того же самого экземпляра программы (то есть на том же компьютере)
                      +3
                      Агу, т.е. никакой синхронизации нет. Для меня единственным решением проблемы скайпа является постоянно включённый клиент на домашнем сервере. Грустно, криво, но по другому никак. :(
                        0
                        Так и живём. Синхронизация если и есть, то работает через пень-колоду.
                        Помню обрадовался, когда ввели оффлайн отправление сообщений. Однако проработало сие чудо довольно таки недолго, к сожалению.
                    +2
                    Ладно бы он либо умел, либо нет. А то он «вроде» умеет, при этом статус доставки — важнейшее, чего ожидаешь от IM, у него не означает ничего ровно.

                    Скажем, висит человек в оффлайне. Пишу ему — опа, статус может стать как «успешно», так и «думаю». Нажимаю на оффлайновом собеседнике кнопку «звонить» — звонит, гудки идут, кто при этом «у второго аппарата» — никакой логике не подвластно.

                    Пересылка файлов — то мигом, то со значком улитки, между теми же собеседниками с теми же каналами, роутерами и прочим.

                    Добавим к этому тему идиотизма хранения истории — в sqlite, полгода (!!!), и то порой куда-то мило так пропадает кусками…

                    Да вашу ж Машу! Это не IM как средство бизнеса, это «помолитесь перед запуском» каждый рабочий день! Они хотят, чтобы им верили? Они хотят еще и денег заработать?

                    Понятно, что в протоколе и идее сети не все так просто с оффлайн-сообщениями, но все же… Про размер бинарника уже не говорю :)
                      0
                      пол года? можно пруф?
                        0
                        В настройках уже можно включить вечное хранение.
                          0
                          Вы про какую ОСь это говорите? :)

                          Не говоря уже что я не только на компьютере скайп использую — и на смартфонах все вообще невесело.

                          На мой взгляд — не стараются ребята сделать самый лучший IM. Причины: либо им «и так хватает», либо просто нет вкуса/ощущения того, как сделать изящно/хорошо/удобно.
                            0
                            Win7 x64
                            А насчёт истории с вами согласен. Тот плагин, который есть для работы с историей в Миранде, значительно функциональнее примитивного поиска в скайпе.
                              0
                              Я до сих пор под впечатлением необходимости логиниться на сайт (!) чтобы скачать себе копию Скайпа. Сейчас такого уже не заметил, но раньше здорово удивляло. Притом что логин на сайт ни для чего (кроме платных услуг) не нужен.

                              Это к тому, что о юзабилити и логичности… ну не у них спрашивать ) какие уж тут претензии к истории. Спасибо, что вообще сделали. Что ее можно хранить надежно, долго, безглючно… что синхронизация данным между копиями (раз уж мы под разные ОС и девайсы существуем) должна работать безукоризненно… «Ах, не тревожьте мне сердце!» ))
                      –7
                      ICQ есть у всех? Неудачная шутка.
                      Была лет 5 назад, но сейчас есть вконтакте с его чатом.
                        +7
                        реально 99% доставка оффлайновых сообщений у обычной электронной почты.
                        Если я хочу доставить получателю что-то гарантированно, пока что лучше способа не придумали. Ни социальные сети, ни мессенжеры рядом не стояли с протоколом, простота и надёжность которорого до сих пор остается стандартом де-факто для использования как при корпоративном общении, так и при общении с внешними респондентами во многих компаниях, а появление которого датируется 1965 годом.
                          0
                          Угу, попадет в спам и все. Вы часто туда заглядываете?
                            0
                            За всё время моего использования gmail, ukr.net, microsoft и еще с полдесятка почтовых сервисов с начала 2000 года только три нормальных письма попало в спам.
                            Если я знаю, что мне придёт письмо от того, кого нет в контактах я периодически проверяю спам, но инцидентов было всего три.
                            В отличие от аськи, скайпа и прочих мессенжеров
                              0
                              Мне бы так везло. Я постоянно письма клиентов вытаскиваю из спама. Приходится туда лазать каждый день.
                                0
                                со своим почтовым сервером проще — белый список избавляет от проблем
                                  0
                                  Белый список на всех потенциальных клиентов адреса которых вы себе даже представить не можете?
                                    0
                                    После первого раза, если анитиспам сам не научится
                                0
                                Почта не очень удобна именно как месенджер, для общения в реальном времени. Короткими фразами, ссылками и т.д.
                                  0
                                  Да, в этом плане мне оказался удобен facebook как на ПК (web интерфейс, скайп) так и в телефонах у меня и у девушки, особенно с уходом gtalk в монстроидальный hangout и отутствием gtalk под платформу WP
                                    0
                                    Кстати, кто бы что ни говорил, но интерфейс Вконтакта мне кажется гораздо более удобным чем фейсбука. На последний у меня лютая аллергия.
                                    Видимо я какой-то ассоциальный тип, но использовать соц. сеть как мессенджер… старая добрая аська просто делает своё дело )
                                      0
                                      Ну да, мессенжер, органично встроенный в ОС телефона.
                                      Интерфейс вконтакта под платформу тоже вполне соответствует гайдлайнам, так что тоже не особо проблематично.
                                        0
                                        Мессенджер который требует от меня номер телефона для регистрации меня не особо устраивает.
                                        Социальная сеть это не мессенджер! Да, такая функция там есть, но она не основная.
                                          0
                                          Android требует учетку гугля, WP требует учетку Microsoft'а, блекберри со своим BIS'ом, доменные/юниксовые пк требуют AD/LDAP/RADIUS

                                          Требование месенжером номера телефона для двухэтапной авторизации вполне логично
                          –2
                          Пришел спросить, а тут уже :)))
                          +52
                          После прочтения ощущение, как будто на дворе начало нулевых.
                            +10
                            Вот то же самое хотел написать. 10 лет назад все пользовались аськой, ломать её было полезно. Но прошла куча времени, её почти забыли уже, а хакеры до сих пор с ней развлекаются.
                              +5
                              Просто подход не изменился. Все те же старые добрые детские косяки.
                              +10
                              Элитные пятизнаки, крутота :)
                              • UFO just landed and posted this here
                                  0
                                  ранкор не думал что встречу сдесь знакомый ник!
                                  +8
                                  Ждем следующего поста — как написать два топика из песочницы :)
                                  Картинка

                                    +3
                                    шаг 1) написать первый пост получить инвайт и все как пологается
                                    шаг 2) потом изза грамматических ошибок во втором получить read only
                                    шаг 3) переиздать второй пост доведя всё до ума
                                    шаг 4) получить второй инвайт и запостить из песочницы)
                                      +1
                                      Из-за грамматических ошибок уже дают read only?
                                  0
                                  Ах вот в чём дело, а я то думаю чего это у антиспам опять начал рапортовать об отфильтрованных сообщениях.
                                    –6
                                    Хватит насиловать труп.
                                      +16
                                      Я это слышу вот уже 8 лет. Но дается мне этот труп еще всех переживет.
                                        –1
                                        Довольно активный такой труп получается, и с хорошими перспективами… именно в такие моменты и начинаешь верить в загробную жизнь.
                                          0
                                          Этот трупак часто встает проблемой для связи с кем-то. Когда у собеседника нет ни скайпа, ни Гугл Толка, а есть только ICQ, о котором ты забыл уже лет 5 назад.
                                            +1
                                            Ну для меня такой же проблемой стает скайп. Ну не пользуюсь я им, убог он чуть более чем полностью.
                                          +1
                                          Я вот тоже думал что кобол мертв, а под новый год меня забанили за то что не использую заглавных букв и не ставлю точку в конце.
                                        –1
                                        Думаю мой девятизнак не так итересен хакерам как чей то пятизнак…
                                          +4
                                          Пошёл посмотреть цены на 7-знаки, оказывается можно загнать и за 5 к. Может продать свой пока оно ещё кому-то надо?
                                            +3
                                            Продайте. А потом взломайте по вышеописанной методике.
                                              0
                                              А где, если не секрет? А то у меня можно сказать есть «элитный 7-ми знак», из одного памятного всем IT-шникам года и трех шестерок, т.к. такой дьявол-IT номер, может продать кому, если кому-то надо. Все равно уже много лет не пользовался аськой…
                                                0
                                                такому цена не более 10 рублей…
                                                айтишника врядли найдёте скорее человека с данным годом рождения он может больше и даст
                                                  0
                                                  А там меж тем, не просто год, а год начала эпохи :-)
                                                0
                                                5к баксов? О_о Или рублей? Может и свои неиспользованые инвизы 7ки продать?
                                                  0
                                                  Рублей конечно.
                                                +2
                                                Что такое ICQ?
                                                  +2
                                                  … спросил как-то сын у отца. Тот ностальгически вздохнул и повёл его на чердак, где из отдалённой коробки достал запылившийся CD, в котором бережно хранились различные ICQ атрибуты времён его молодости.
                                                  +13
                                                  Почему каждый ICQ-тред притягивает такое количество снобов?

                                                  Зареган в icq 13 лет, пользуюсь активно, у меня до сих пор все знакомые и друзья там (много айтишников, работающих далеко не с виндами) и ни один не свалил на xmpp (jabber). На скайп переползли некоторые — это да… но возвращаются обратно, ибо мессенджер из него убогий.
                                                    0
                                                    Скорее задачи у него немного другие — голосом трепаться и по вебкамере родственникам дитё показывать.
                                                    У аськи, кхм, голос и видео рядом не стояли — несколько человек недавно решили как раз этот функционал проверить, поплевались и забили
                                                      0
                                                      Я имел в виду использование Skype в качестве мессенджера. У Скайпа в качестве видеозвонилки нет конкурентов (что весьма печально, учитывая ухудшение качества в последнее время).

                                                      Не знал, что icq научилась звонить. :)
                                                        +1
                                                        Так мейл.ру агент тоже вроде звонить умеет, но что агенту что аське (которая вроде как на xmpp собиралась переходить) по качеству звонков до обычной программной sip звонилки из комплекта Gnome/Kde или нечто вроде XLite под win* далеко так же, как мне до должности техника в CERN. особенно на асинхронных или просто низкоскоростных каналах.
                                                        Зато скайп на моих 512к (64килобайт/сек) на выход у меня дома прекрасно показывает видео на удалённую сторону, и даже не чешется.
                                                    +1
                                                    На фоне какой-нибудь миранды интерфейс скайпа это мягко говоря ужас. Под него надо отдельный 22'' монитор. И с каждым обновлением он становится все более и более громоздким. Да и контакты многолетние как из аськи вытащить?
                                                      +1
                                                      меня лаконичный интерфейс скайпа без всякой аськовой фигни с панельками, темами и прочей лишней фигней радует больше, чем официальная аська с мирандой и квипом, но это лично моё мнение.

                                                      а общение и мессенжер сильно от компании зависит. я со многими уже давно общаюсь в фейсбуке и иногда скайпе/вконтакте, хотя у меня что в фейсбуке, что во вконтакте, что в аське/скайпе/гчате контакт лист почти везде один и тот же.
                                                        0
                                                        всякой аськовой фигни с панельками, темами и прочей лишней фигней

                                                        Что, простите?
                                                        Миранда Минимализм миранды (полная кастомизация плагинами кстати)
                                                        Скайп
                                                        Скайп2 Вот это вообще тихий ужас. Увидел после очередного обновления.
                                                          0
                                                          Интерфейсы и удобство — понятие очень сильно зависящее от конкретного человека.
                                                          слово «меня» в начале комментария, по моему, на выражение _моего_ мнения указывает однозначно.

                                                          1. в Миранде мне не нравится именно то, что надо долго конструктором пилить нужные плагины и темы, спасибо, с линуксом уже наигрался, так линукс уже напильника и не требует, практически.
                                                          2. Скайп под IPad'ом, мне, кстати, достаточно удобен — я ипад у товарища лапал пару часиков.
                                                          3. последний интерфейс Скайпа лично мне тоже достаточно приятен, особенно если разделить окна чатов и контакт листа.
                                                          Не хватает только вкладок при нескольких переписках одновременно, это плюс Миранды, как для меня
                                                        0
                                                        Видел у одного знакомого 19" широкоформатный монитор (в дополнение к основному 24") повернут а 90 градусов — только под скайп… у меня был шок
                                                          +1
                                                          У скайпа действительно нет конкуренции, когда речь о видео/аудио связи на пользовательском рынке, так же он широко разрекламирован как бизнес-инструмент. Но когда речь идет о чисто текстовой связи в реальном времени — тут он явно не фаворит, я бы даже сказал — аутсайдер.
                                                            0
                                                            Зато у него есть отличная фича — некоторое время можно редактировать свои последние сообщения :P
                                                              0
                                                              Ага, и там был список контактов на весь монитор…
                                                                +2
                                                                Зато для скайпа на хабре можно новый тег добавить — «Еженедельный эскплойт Skype»
                                                                  0
                                                                  Вы меня убедили! Сплошные плюсы! (Табличка «Сарказм!»)
                                                                    0
                                                                    дайте пожалуйста ссылки на темы с дырами поглазею)
                                                                      0
                                                                        0
                                                                        ахахах
                                                                        какже написать сплоет эксплуатирующий эти уязвимости??
                                                                          0
                                                                          Сейчас? Никак, первые две уже прикрыли.
                                                                            0
                                                                            немогу себе представить программу которая за тебя собирает инфу о аккаунте в скайпе и трещит потом с суппортом о восстановлении))
                                                                              0
                                                                              А две других уязвимости вы сразу отвергли? Да и с саппортом можно более-менее шаблонно разговаривать, если на то пошло.
                                                                                0
                                                                                я не прочитал про подмену мыла думал там тоже про суппорт. вот это хорошая уязвимость…
                                                                                а тертье типо заблокировать пользователя это больше фитча чем уязвимость… ведь поиметь аккаунт таким образом нельзя.

                                                            Only users with full accounts can post comments. Log in, please.