Rambler bug

    При регистрации новой почты или при клике по ссылке восстановления пароля, обратите внимание на правый верхний угол — похоже что случайным образом перехватываешь чью-то сессию, причем при рефреше страницы сессия меняется. Минимум можно собрать актуальную спам базу.

    пруфлинк

    UPD: есть способ для захвата случайной почты (привязанного номера icq и т.д.), по понятным причинам здесь не публикую, администрация рамблера поставлена в известность.

    UPD2: 22:30 GMT +3 bug fixed
    Support the author
    Share post
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More
    Ads

    Comments 134

      0
      Здравствуйте, Ira Sh
      ecla[вырезано]pils@rambler.ru

      И у вас этот user?
        +2
        Каждый раз рандоино.
          +3
          Да уже заметил.
          Спамеры могут собрать кучу адрессов написав крохотный скрипт.
            +3
            Тут уже дело не в спамерах, а в том что можно взломать практически любой рандомный аккаунт.
              0
              Именно то, что аккаунт случайный, делает угрозу весьма незначительной.
                –12
                А Вам было бы приятно, если бы Ваш аккаунт там выпал?
                  +7
                  >А Вам было бы приятно...

                  Кстати, Вам бы было приятно узнать, что хабраюзер ShamanWild является тем самым,
                  кто барыжил аккаунтами на хабр не так давно?

                  информация предоставлена небезызвестным человеком-гуглом cypa.

                    +4
                    И тем самым, кто собрал через этот баг 5000 мыл и поделился своим достижением на том же античате.
                      0
                      А вам с сурой какая печаль?
                    • UFO just landed and posted this here
                      –1
                      Массовый захват ящиков ни к чему хорошему не приведет. Помимо утечки данных существует большая вероятность того, что будет проспамлена вся адресная книга вредоносной программой, ложные сообщения о займе денег и т.д.
                    0
                    Собрали базу из логинов которые используются часто в качестве пароля, размером в 10 мб чистого текста. А ещё по мимо этой баги, можно было проникнуть в любую почту которая рандомно выпала из этой баги, но как сказано выше — всё прикрыли.
                  +2
                  Нет. Попробуйте обновить страницу.
                  +2
                  Ох ребята и учудили :)
                    +5
                    Если почитаете некотоыре форумы, уже выложили алгоритм и скрипты (:
                    • UFO just landed and posted this here
                        0
                        ну, тут вы просто выкачиваете страницу… а там все серьезнее
                        • UFO just landed and posted this here
                            +1
                            раз уж виндовый wget, то для этого и виндовый grep можно использовать…
                              0
                              Ну вон ниже подтвержают, уже через этот баг в ящики заходят и аськи угоняют
                        +6
                        soblaznitelnaja-gracioznaja
                        я в шоке от того, что иногда выходит
                          +3
                          хорошо хоть не admin@rambler.ru
                            +1
                            мне выпало gracioznaja-skazochnaj

                            Что-то подозрительно похожие адреса выпадают
                              +1
                              На удивление уже около 50 icq номеров отобрал и написал «Добрый вечер», ответа — нет О_о
                              Неужели это honeypot?
                                +1
                                UPD: Всё таки достучался до 2 людей, у одного увели icq.
                            0
                            администрация рамблера поставлена в известность
                            Насколько давно? Возможно, следовало просто немного подождать, а не возбуждать юных хацкеров? :)
                          • UFO just landed and posted this here
                              +5
                              как на перле не знаю, напишу пример на пыхе:

                              • UFO just landed and posted this here
                                  +2
                                  Думаю, как обычно — съел злой хабрапарсер.
                                    +4
                                    … а заодно и хабракомментатора, судя по тому, что алгоритм так и не был выложен.
                                    +5
                                    написано же, пример на пыхе :)
                                      0
                                      парсер скушал… а так старался набирал… сейчас ещё раз попробую… не получится, то ещё через 5 минут попробую)))

                                      if (array_key_exist('uid',$_SESSION)) {
                                      $uid = (int) $_SESSION['uid'];
                                      } else {
                                      $uid = rand(0,$ramblerUsers->getUsersCount());
                                      }
                                      $cuUser = $ramblerUsers->getUser($uid);
                                    0
                                    я вот тоже не могу придумать ситуацию, когда бы при вспоминании пароля, надо было б выводить такое
                                      0
                                      ну наверное в запросе проверки сессии забыли WHERE :)
                                      • UFO just landed and posted this here
                                        • UFO just landed and posted this here
                                          • UFO just landed and posted this here
                                              +1
                                              вот и отправили бы ему письмо типа «выйди из рамблера, а то я уже трижды имел шанс у тебя почту спереть»
                                              • UFO just landed and posted this here
                                          +3
                                          Есть подозрение, что страница кешируется вместе с uid’ом.
                                        • UFO just landed and posted this here
                                            0
                                            пипец )
                                              –1
                                              ППЦ!
                                              А upd можно было не писать, кто в теме и сам поймет, а так теперь другие начнут искать.
                                                +1
                                                А какой из этого следует вывод для юзеров рамблера? Им «не заходить в веб-интерфейс, пока не пофиксят» (чтобы не было их сессии активной)?
                                                  0
                                                  Я еще на всякий случай скопировал все письма на гмэйл и удалил с ящика рамблера. Как пофиксят так вернусь :)
                                                    +1
                                                    Да я не о себе беспокоюсь, у меня отродясь там ящика не было :)
                                                    Есть люди, которым я желаю всяческого добра и счастья, о них вот…
                                                      0
                                                      Спасибо :) А у меня есть и сейчас паника :(
                                                      +1
                                                      А зачем вам Рамблер?
                                                        +1
                                                        Ну так исторически сложилось, что первый ящик был на рамблере. А теперь к нему привязано очень много регистраций на разных сайтах/сервисах/системах.
                                                      +5
                                                      Бежать с таких сервисов и юзеров уводить, это очевидно.
                                                    • UFO just landed and posted this here
                                                        +3
                                                        Там еще и поле заполняется помимо того что в правом верхнем углу:
                                                        1010101.ru/spam/2009-06-28-20-3536.png
                                                          –2
                                                          давайте лучше поможем пользователям рамблера — пусть каждый заходящий на эту страницу нажмет «выйти» под адресом того случайного человека, тогда его сессия закроется и может быть он не попадет в базу спамеров.
                                                            +3
                                                            Порефрешил, и тут мне вывело:
                                                            Ваш новый номер ICQ: 553566964

                                                            Вот спасибо =)

                                                            Блин, это что долбят программеры рамблера, что бы такое делать?
                                                              0
                                                              а не курят ли то же самое разработчики Бигмира?
                                                              я уже устал получать письма со своим «новым номером ICQ». у меня их наверное уже за сотню перевалило, хотя сам я для их регистрации палец о палец не ударил.
                                                              0
                                                              нда… хорошо, что у меня акка на рамблере нету.
                                                              • UFO just landed and posted this here
                                                                  0
                                                                  Знамо дело — выходной. А с дому зайти и починить запрещает политика безопасности компании.

                                                                  Ну это, естественно, только мои догадки.
                                                                    0
                                                                    В крупных компаниях обычно используется VPN для этих целей
                                                                      0
                                                                      Даже в некрупных используется
                                                                        0
                                                                        Я имел ввиду «нельзя» в административном порядке.
                                                                          –1
                                                                          Т.е. даже такие вот критические баги фиксить административно нельзя?

                                                                          Сомневаюсь, чтобы в рамблере так было. Очень уж это совковая бюрократия, чесслово.
                                                                          Скорее, программисты на дачах и на речке, не могут их дозваться :)
                                                                            +2
                                                                            Можно просто закрыть скрипт на это время силами админов. Должны быть дежурные админы. Лучше невозможность восстановить пароль, чем уведенный ящик. Если окажется еще что у них не ведутся логи/архивы и уведенные пароли никак не восстановить, то это будет 100% фиаско рамблера, как почты.
                                                                            Я подозреваю что скорее «администрация рамблера поставлена в известность» означает что отправлено письмо в саппорт, а вот саппорты как раз по выходным не работают.
                                                                    0
                                                                    Мда уж, никгда к рамблеру дверия не был, а теперь и подавно.
                                                                      0
                                                                      Еле открывается уже, задосили опять :)
                                                                      • UFO just landed and posted this here
                                                                        0
                                                                        «опять я тырнет не понимаю, в рамблере пытаюсь завести ящик, а там в правом верхнем углу ко мне обращаются величая разными именами с разными ящиками, кто подскажет это вообще что за муть ?»

                                                                        beatr1che.livejournal.com/17605.html

                                                                        поможем? :-)
                                                                          +2
                                                                          id.rambler.ru/script/newuser.cgi
                                                                          О как, еще не успел представиться…

                                                                          К сожалению, на Рамблере уже есть пользователь @rambler.ru. Вы можете выбрать себе другое имя, или воспользоваться именами из предложенных ниже.

                                                                          pizdasos4
                                                                          pizdasos2009
                                                                          pizdasos09
                                                                          pizdasospizdasos
                                                                          pizdasos-pizdasos
                                                                          pizdasos.pizdasos

                                                                          Если пользователь @rambler.ru — Вы, и Вы просто забыли пароль, воспользуйтесь службой восстановления паролей.

                                                                          P.S.
                                                                          Может это прикол такой (с трудом верится)?
                                                                          0
                                                                          Удобно, при обновлении страницы по сути нам для базы предоставляю сразу два ящика справа-вверху ну и прямо перед глазами.
                                                                            +6
                                                                            Удивительно что такой ахтунг висит уже 3-ий час. В Москве сейчас пробки? =)
                                                                            Такое должны фиксить за 10 минут, даже если в гондурасе пьют кофе. Охранникам блин позвонить и рассказать что надо сделать.
                                                                              +13
                                                                              млин, просто офигеть. неужели они не могут хотя бы доступ закрыть к скрипту?
                                                                              левой ногой написал скрипт, посмотрим сколько успеет насчитать, пока дыру не закроют. потом отпишусь сколько насчиталось.
                                                                              считать начало в 21:26.

                                                                                0
                                                                                Позвольте поинтересоваться, зачем Вам понадобилась эта база?
                                                                                  +1
                                                                                  мне она не нужна. просто интересно сколько насчитается на момент закрытия бага. для статистики.
                                                                                  я имена, кстати говоря, не пишу, только email адреса.
                                                                                    +3
                                                                                    Для статистики можно не писать и email адреса, а писать только +1
                                                                                      +4
                                                                                      согласен, не ругайтесь только.
                                                                                      но если потом выснится, что выводились только определенные email'ы, к примеру, из закешированных за последние 6 часов, а также выяснится, что пароли и явки тоже уплыли, то у меня будет база и я смогу разослать попавшим в список людям письмо о том, что их аккаунт попал под раздачу.

                                                                                      благой порыв? (:
                                                                                        +3
                                                                                        ок, верю что на хабре люди приличные
                                                                                        +7
                                                                                        видимо для отсева дубликатов
                                                                                          +3
                                                                                          кстати, адреса почты очень часто повторяются.
                                                                                            0
                                                                                            Вот я и говорю — отправьте им письмо, что мол «ребят, палитесь». Наверняка сразу прочитают и испугаются :)
                                                                                          • UFO just landed and posted this here
                                                                                              +1
                                                                                              ну, не настолько ногой я писал (: дубликаты сразу выявляются и количество повторов дописывается после адреса почты.
                                                                                              0
                                                                                              Нельзя — надо проверять потом на уникальность.
                                                                                          0
                                                                                          Ну что, сколько?
                                                                                            +15
                                                                                            статистика такова:
                                                                                            начал делать запросы в 21:26, починили в 22:28, т.е. за 62 минуты данные.
                                                                                            запросов к серверу, на которые я получил ответ с email'ом 14332, из них уникальных email'ов 1532, т.е. почти каждый десятый.
                                                                                            чаще всего были получены уникальные email адреса, но есть и такой, который попался 390 раз.
                                                                                            вот в графике (на бар-чарте: полосочки — количество email'ов от общей массы, «повторяется раз» — сколько раз повторилось, явно видно, что большинство email'ов были уникальными):
                                                                                          +4
                                                                                          а бывает ещё интереснее:
                                                                                            0
                                                                                            Чем именно это интереснее?
                                                                                              0
                                                                                              я несколько раз обновлял страницу, и только 1 раз выпала возможность изменить пароль
                                                                                                –1
                                                                                                Понял, пардон, не туда глядел.
                                                                                                +3
                                                                                                Насколько я понял, это уже СМЕНА ПАРОЛЯ клиента. Проще говоря, увод ящика.
                                                                                                  +2
                                                                                                  вот именно
                                                                                                    +1
                                                                                                    Похоже Вам уникально повезло и Вы попали на пользователя который в данный момент действительно восстанавливал пароль, и Вам досталась его сессия.
                                                                                                      0
                                                                                                      оказывается не так уж и уникально, понажимайте F5, везёт достаточно часто
                                                                                                      не факт, что при сабмите сессия опять не сменится
                                                                                                        0
                                                                                                        Да уж, лучше не эксперементировать =)
                                                                                              +1
                                                                                              А про одного юзера сейчас вот такое сказало:
                                                                                              <p class=«txt_error»>
                                                                                              Слишком много запросов на восстановления пароля
                                                                                              </p>

                                                                                              <p class=«txt»>
                                                                                              Нами зарегистрировано слишком много запросов к системе восстановления пароля от Вас.
                                                                                              Пожалуйста, сделайте перерыв на несколько часов и попытайтесь вспомнить точно ответ на вопрос.
                                                                                              </p>

                                                                                                0
                                                                                                Это при том, что я никаких рефрешей постоянных не делал, раз пять-шесть страничку рамблера загружал всего. Т.е. «От вас» — точно не «с вашего ip-адреса».
                                                                                                0
                                                                                                Будет очень смешно и грустно если оно проживет до утра понедельника.
                                                                                                  0
                                                                                                  По-моему, смешно перестало быть и стало грустно уже час как :(
                                                                                                    +1
                                                                                                    рамблер — это всегда грустно :(
                                                                                                      +1
                                                                                                      Этот баг выложили еще днем в 13:16 на Злом — forum.zloy.org/showthread.php?t=84704
                                                                                                      Народ там уже давно развлекается уводом асек и аккаунтов от разных сервисов
                                                                                                        0
                                                                                                        Так что это будет еще очень хорошо, если Рамблер этот баг к завтрашнему утру соизволит прикрыть.
                                                                                                    +5
                                                                                                    Я тут не причем!!!
                                                                                                      +2
                                                                                                      OMG, какой стыд!

                                                                                                      «Разобраться. Наказать виновных. Доложить в трехдневный срок»!
                                                                                                        –2
                                                                                                        вот это жесть!!!

                                                                                                        вот поэтому я не пользуюсь бесплатными почтовиками.
                                                                                                          0
                                                                                                          ой да ладно… Можно подумать у платных сервисов не бывает подобных косяков.
                                                                                                            –2
                                                                                                            Подобных — нет.
                                                                                                          +5
                                                                                                          Пофиксили
                                                                                                            +3
                                                                                                            Всего-то 9 часов потребовалось. Жесть.
                                                                                                              –1
                                                                                                              на рекорд идут :)
                                                                                                              или они эстонцев набрали? :)
                                                                                                            0
                                                                                                            Нда… Что-то Рамблер как-то стал часто допускать подобные ошибки. Обидно.

                                                                                                            Пофиксили, кстати.
                                                                                                              0
                                                                                                              Вроде, пофиксили уже.
                                                                                                                0
                                                                                                                Сори, не читал комменты выше.
                                                                                                                0
                                                                                                                Вроде исправили!
                                                                                                                • UFO just landed and posted this here
                                                                                                                    +1
                                                                                                                    Знал бы, что ты собираешь, я бы тебе и свои 5 тысяч подкинул. Я просто полюбовался результатами и прибил всё.
                                                                                                                    0
                                                                                                                    А, пофиксили? А я нажал «выйти» и расстроился, что больше не появляются.
                                                                                                                      +3
                                                                                                                      www.computerra.ru/bitrix/admin/
                                                                                                                      Логин: webmaster
                                                                                                                      Пароль: 1234567
                                                                                                                        0
                                                                                                                        Да вы что, это место свято!
                                                                                                                          0
                                                                                                                          Брешь безопасная, иначе бы не постил.
                                                                                                                          0
                                                                                                                          а я читал частенько, до смены дизайна главной страницы, стал бред такой. Поэтому только компьюленту щас смотрю…
                                                                                                                            0
                                                                                                                            я тоже читать перестал, но вырос на этом журнале и трепетно к нему отношусь:]
                                                                                                                            0
                                                                                                                            Не обманывайте людей.
                                                                                                                            image
                                                                                                                            Ну или кто-то умный уже сменил пароль.
                                                                                                                            Или (самое невероятное) — пофиксили.
                                                                                                                              0
                                                                                                                              пофиксили, я логинился прекрасно, потом вышел сразу так-как уважаю сие издание.
                                                                                                                                0
                                                                                                                                Не обманываю, подходит любой логин/пароль из форума.
                                                                                                                              +5
                                                                                                                              статистика такова:
                                                                                                                              начал делать запросы в 21:26, починили в 22:28, т.е. за 62 минуты данные.
                                                                                                                              запросов к серверу, на которые я получил ответ с email'ом 14332, из них уникальных email'ов 1532, т.е. почти каждый десятый.
                                                                                                                              чаще всего были получены уникальные email адреса, но есть и такой, который попался 390 раз.
                                                                                                                              вот в графике (на бар-чарте: полосочки — количество email'ов от общей массы, «повторяется раз» — сколько раз повторилось, явно видно, что большинство email'ов были уникальными):
                                                                                                                                0
                                                                                                                                эм, почему то два раза пост в теме появился. извините. это не я (:
                                                                                                                                  0
                                                                                                                                  У меня из 7838 e-mailов
                                                                                                                                  1293 уникальных,
                                                                                                                                  причем парсил я в течение 40 минут.
                                                                                                                                  Это получается, что в рамблер почте он-лайн висет ~1500 человек в час О_о
                                                                                                                                  +3
                                                                                                                                  отправил полученный список email'ов в Rambler. может быть пригодится им или смогут вернуть утраченные аккаунты владельцам.
                                                                                                                                  так же попросил их осветить проблему или хотя бы дать комментарий по этому поводу.

                                                                                                                                  на спам-ресурсах говорят, что смогли собрать почти миллион адресов. уже продаются даже.
                                                                                                                                    +1
                                                                                                                                    Мне интересно, получит ли по шапке программист, допустивший такой ляп?
                                                                                                                                      +3
                                                                                                                                      Кроме программиста по шапке получит целая команда людей: от тестеров по прожект-менеджеров.
                                                                                                                                        0
                                                                                                                                        Главное они теперь хорошо и точно будут знать за что получили.
                                                                                                                                      0
                                                                                                                                      Почему-то это никто до сих пор не прокоментировал…

                                                                                                                                      Что самое интересное глючить Рамблер стал после смерти создателя Дмитрия Крюкова

                                                                                                                                      Only users with full accounts can post comments. Log in, please.