Ограбление по-дилетантски-2 или о том, как Mail.ru хранит пароли

    Добрый вечер Хабр! Сегодня пятница, и я снова в эфире!
    Этот топик не будет отличаться оригинальностью, и в нем я снова буду сыпать соль на раны клиентам бесплатных почтовых служб. В комментариях к моему предыдущему топику «Ограбление по-дилетантски или о том, как Яндекс хранит пароли» bar_boss указал, что Mail.ru так же не отличается заботой о защите пользовательских учетных данных. Я решил проверить, и вот результат — та же самая уязвимость во всей красе. Пользователи Майл.ру, привет! Говорить о неповоротливости службы поддержки Майла, в отличие от аналогичной службы у Яндекса, можно часами. Делаем ставки, как долго указаная уязвимость не будет закрыта…

    UPD Сапорт Mail.ru все-таки читает Хабр, спустя сутки, уязвимость кажется уже справлена.
    UPD2 А RNZ предположительно нашел другой случай передачи паролей открытым текстом.


    Все просто как в детской считалке:
    1.


    2.


    3.


    4.


    5. Заглядываем в исходный код страницы, все как на ладони!


    Они и не подумали прикрыть незащищенную задницу пользователя хотябы https, как и в случае с Яндексом. Последний тем временем все у себя уже исправил.
    Пользователи бесплатных почтовых ящиков все еще надеятся, что их данные надежно защищены? Еще как!
    Support the author
    Share post

    Similar posts

    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More
    Ads

    Comments 93

      –66
      писец.
      на хабре что, одни идиоты?
      а как по вашему должен зранить пароли СБОРЩИК почты? если они будут в закрытом виде — то он и залогиниться на сервер не сможет.
        +29
        Понятно, что хранить придется в открытом, проблема в том, что он их показывает
          +5
          Поддерживаю.

          Ничего не мешает отсылать пользователю просто мусор в пароле (а лучше вообще пустой). При отправки формы шифровать пароль и передовать. Хотя бы так.
            –1
            Вы что. Для этого мозг нужен. Тем более майл.ру сделан так, что бы мозг не нужен был при чтении и отправки почты :-)
              0
              Ну так ведь в расчёте на аудиторию.
                0
                Мэйл ру сделан так, что мосск вообще не нужен :) Ни в каком случае :)
                  0
                  Возникает резонный вопрос, а ну же ли сам мейл.ру?
            +3
            Сборщик отдавать никому в открытом виде обратно не должен. Уже обсуждалось в предыдущем топике.
              +12
              Но зачем сразу в форме выдавать вбитый реальный пароль?
              Выводили бы «mypassword» и проверяли, если не изменили поле и оно все еще с тем же значением — значит смены пароля не было.

              Это действительно показатель «легкого» отношения к безопасности клиентов.
                +1
                Это виртуальная девушка. Вы так наивны.
                  +4
                  Извините, не так Вас понял =)
                  +2
                  Сборщик должен хранить пароли в ЗАКРЫТОМ виде, но используя двустороннее шифрование (то есть с возможностью расшифровки), это конечно не панацея, но добавит проблем взломщику. А в форме смены пароля должно быть вообще что-нибудь типа VALUE="##do-not-change-saved-password##" (но уж никак не пароль!). Ну и https конечно нужен.
                    0
                    А если у моего ящика пароль '##do-not-change-saved-password##' ⊙﹏⊙
                    Я не очень в веб-программировании, но как на счет присылать пустое VALUE, а звездочки пока поле пустое эмулировать (так же, как выводится «Поиск по сайту» в поле ввода тут на хабре, в самом верху).
                    +1
                    да… на хабре много идиотов… обычно их коменты не видны…
                    –12
                    Как вы сможете использовать данную уязвимость для атаки какого-то конкретного почтового ящика?
                      +4
                      Зная, что мы сидим с жертвой на одном и том же спутнике — просеять эфир.
                      Проснифит трафик со свитча.
                      Да как угодно. Подойти к кпомпу, когда жертва залогинилась в почту и отвлеклась, и посмотреть — повреждения не требуется.
                        +2
                        «Подтверждения ввода мастер пароля», я хотел сказать.
                          –9
                          Да, но точно так же вы можете отснифать пароль, который передает жертва POST-запросом при логине на mail.ru.
                            –1
                            Способов миллион, как узнать пароль от «мастер»-ящика.
                              +3
                              про ssl слышали что-то?
                              –10
                              И все-же я спрашивал, как перехватить какой-либо конкретный пароль.

                              Взять, например, мой ящик — zepps@list.ru. Если в личку вышлете мне мой пароль, тогда все будет понятно.
                                +1
                                Этот топик не про сам взлом почтовых ящиков на мейл.ру, а про его последствия. И да, я не хакер.
                                  –10
                                  Я так полагаю, что этот коммент минусуют те, кто любит рассуждать о том, как элементарно хакаются ящики на mail.ru и то что это может сделать даже пенсионерка. Но как только им предлагается попробовать самим это сделать, то это предложение задевает за живое.
                                    +11
                                    Вопрос не в том на сколько сложно или просто вскрыть ящик на мейл.ру, вся соль в том что если такое случиться жертва лишится всех аккаунтов с которых собирается почта с помощью этого самого мейл.ру.
                                      –8
                                      в упор не могу понять — что такого в хранении пароля на странице, на которую можно попасть уже зная пароль?
                                      только не надо рассказывать про инет-кафе, где можно узнать пароль зазевавшегося посетителя, отошедшего покурить и
                                      не закрывшего окно почты. это из другой оперы.
                                      паранойя у некоторых товарищей иногда просто зашкаливает.
                                        +6
                                        Ок вот объяснение на пальцах.
                                        Есть аккаунт А@mail.ru, B@yandex.ru, C@rambler.ru и тд.
                                        Аккаунт A@mail.ru является главным и собирает почту c аккаунтов B@yandex.ru и C@rambler.ru.

                                        Человек получает доступ к аккаунту A@mail.ru и с помощью данной недоработки получает доступ к B@yandex.ru и C@rambler.ru, потому что сервер mail.ru вернул их пароли в открытом виде в форму.
                                          +7
                                          Если человек получил доступ к аккаунту A@mail.ru, то остальные пароли ему уже не нужны, ибо вся интересующая его почта и так уже на A@mail.ru собрана. :)
                                            0
                                            логично :)

                                            Но все же согласитесь, что вред от того когда пароль отдается в открытом виде больше, чем от просто собранных писем.

                                            Можно сейчас кучу ситуаций придумать, но зачем?
                                              0
                                              Ну я и не спорю, что открытые пароли — нехорошо :)
                                              0
                                              Одно дело читать письма, и совсем другое — на них отписывать (-;
                                                +2
                                                > ибо вся интересующая его почта и так уже на A@mail.ru собрана

                                                А если человека интересует не пришедшая уже сейчас почта, а та, что придёт позже? Например, пользуясь приведёнными адресами предположим, что на B@yandex.ru зарегистрированы домены/хостинги и можно запросить восстановление пароля для доступа в административные интерфейсы, а на C@rambler.ru — чисто гипотетически, аккаунт paypal с авторизованной кредиткой. На получение всех этих данных потребуется накое-то время, так что владелец адресов, обнаружив взлом A@mail.ru, вполне может успеть поменять пароли к ящикам, чтобы сборщик от mail.ru ничего не получил. Если же злоумышленник может посмотреть пароли к другим ящикам, то велика вероятность, что истинный владелец ничего поменять уже не успеет.
                                                  0
                                                  Согласен, сразу не подумал.
                                          –2
                                          вот тебя несет то, ты сам вчитайся в свои посты, ты чего-то не понимаешь видемо в этой жизни…
                                          речь не о том как легко хекаеца ящик или не хекаеца на мейл.ру
                                          а данная уязвимость поможет нам если мы уже имеем доступ к ящику на котором настроен сборщик =\
                                          вооообщем вы не в теме…
                                        • UFO just landed and posted this here
                                            +5
                                            Нельзя на js через DOM залезть во фрейм с другого домена.
                                            • UFO just landed and posted this here
                                            +1
                                            Да не только же в сниффинге дело. А ещё в том, что при угоне одного ящика взломщик может запросто получить реквизиты нескольких других.
                                              +1
                                              Если вы сидите с жертвой рядом, на одном спутнике или можете получить доступ к свитчу, можно просто поснифать POP3-трафик и узнать пароли от любой почтовой системы. А еще можно трояна на машину поставить и узнать ваще все :)). Во всех остальных случаях описанная вами «уязвимость» бесполезна.

                                              Вывод: безопасность она не уменьшает.
                                                0
                                                Не совсем так. Если у человека настроен собиратель почты, то пароли от других ящиков по pop3 с его машины никуда не передаются как бы.

                                                Если чел ходит в почту через web, то в момент логина mail.ru переключается на https, так что пароль их ящика вы прослушкой не утянете, а вот остальные пароли- запросто. А если человек ходит через проксик, то они еще и на диске окажутся.

                                                Ну а ситуацию с угоном пароля от ящика на mail.ru уже разбирали.

                                                Так что безопасность уменьшается и еще как.
                                                  0
                                                  Хотелось бы ссылочку на «разбор угона».
                                                0
                                                о да! Помню времена своей «рыбалки» на тарелке. Помимо мега потока порева, еще можно было страницы получать, причем нередко с закрытых частей сайтов и с паролями :)
                                                0
                                                трояном пошарить в кеше браузера, снифить трафик… да в конце концов пользователь может сам сохранить себе страницу а она потом попадет не в те руки
                                                • UFO just landed and posted this here
                                                    –1
                                                    Во фрейме на любом сайте сделать ссылку на эту страницу, если юзер залогинен, то из родительского фрейма яваскриптом читаем пароль
                                                    +4
                                                    интересно, мне одному мозолит глаза написание «майл»?
                                                      0
                                                      Соглашусь и исправлю.
                                                      +1
                                                      мэйлру вообще мало о чем заботится. эталон кривизны просто. лагает все, что может…
                                                        +1
                                                        Странно, я противоположного мнения.). Их версия интерфейса edu.mail.ru позволяет выполняет те задачи, которые я на нее возлагаю, и система их выполняет…
                                                        –8
                                                        Проблемы нет. Покажите мне хоть одного у кого таким образом украли пароль от почты…
                                                          –3
                                                          Кто следующий на очереди? Rambler? Или где еще держат почту хомячки, не осилившие Gmail?
                                                            +2
                                                            Как самодовольно — «хомячки не осилившие». Мне вот не нравится гмейл. Ящик есть просто по историческим причинам…
                                                              –7
                                                              Гуглофилы такие гуглофилы :-)
                                                              0
                                                              Да, давайте посмотрим как с этим у Рамблера?

                                                              И узнаем кто реализовывал там сборщик почты.
                                                                0
                                                                И ещё одну «сенсационную» статью? :(
                                                                  +2
                                                                  Если так, то я просто проведу анализ почтовых серверов рунета и сделаю краткое резюме по теме.
                                                              +1
                                                              Не понимаю в чем проблема.

                                                              Если трафик слушается, то пароль отснифят еще когда он на сервер идет.
                                                              Если браузер или ОС заражен, то его стырят в момент ввода.

                                                              Если ни то и ни другое, то что плохого в том, что сервер вернул пароль обратно?
                                                              Где он может засветится.
                                                              Сервер отдал пароль пользователю который его и так знает.
                                                              Заглядывание из-за плеча не в счет, так можно что угодно взломать.

                                                              Работа без https это в 100 раз большая дыра чем, то что сервер возвращает пароль обратно.
                                                                0
                                                                Сорри, протупил.
                                                                  0
                                                                  >то что плохого в том, что сервер вернул пароль обратно?
                                                                  Он вернул другой пароль.
                                                                  –2
                                                                  Бесплатное оно и в Африке бесплатное!
                                                                    +12
                                                                    Создатели GMail думают иначе.
                                                                      –4
                                                                      Хорошо там, где нас нет?
                                                                        0
                                                                        Ну я там есть :)
                                                                    +4
                                                                    Извините, у меня ещё осталось 50 приглашений на Gmail, может поделиться с вами?
                                                                    • UFO just landed and posted this here
                                                                      +12
                                                                      Gmail умнее )
                                                                        –5
                                                                        Снифферы, троян шарит в кэше… Как все сложно.

                                                                        Злоумышленнику достаточно встроить на свою страницу скрытый iframe с адресом win.mail.ru/cgi-bin/rpop, с помощью js нажать на кнопку «изменить», и с помощью него же вытащить из поля значение пароля.
                                                                          +2
                                                                          В ифрейме с другого домена JS-ом особо не разгуляешься.
                                                                            –3
                                                                            Не знаю поменялось ли что-то принципиально в безопасности браузеров в этом плане, но во времена моей бурной интернетной молодости мне этого хватало, чтобы посетители сайта про меня и моего хомячка голосовали за него в распостраненых в то время любительских site-award'ах, сами не подозревая о том.
                                                                              0
                                                                              изменилось принципиально — появились кросс-доменные политики.
                                                                                +5
                                                                                Значит заслуженно заминусовали — глупость сказал. Простите дурака.
                                                                          +6
                                                                          В позапрошлом-прошлом году ставил с mail.ru эксперимент, сутью которого было выяснить, откуда там берутся такие неразгребаемые горы спама.
                                                                          Подопытный ящик имел название вроде zakaz-archilib@mail.ru.
                                                                          Информация о ящике нигде не публиковалась.
                                                                          Ящик не вскрывался пол года.
                                                                          Через пол года в ящике было порядка 450 спам-сообщений…

                                                                          PS.Вы всё еще пользуетесь mail.ru?
                                                                          • UFO just landed and posted this here
                                                                              +1
                                                                              Ну собственно говоря, так и предполагалось. Просто было интересно проверить.
                                                                              +1
                                                                              Не Вы один это проверили. Но кстати стоит зайти в ящик через неделю — там уже спама хватает. Причём спама изощрённого, который спам-фильтры (почему-то до сих пор) не ловят.
                                                                              • UFO just landed and posted this here
                                                                                +2
                                                                                mail уже не удивляет данными дырами
                                                                                  +1
                                                                                  я был в офисе мейл.ру. Я мог остановить это безумие, но небыло взрывчатки…
                                                                                    0
                                                                                    А между тем Mail.ru собирается приобрести ICQ
                                                                                  –1
                                                                                  пароль — SerezhenkaZverev? :D
                                                                                  это уже клиника, ребята ))
                                                                                    +3
                                                                                    >Пользователи Майл.ру, привет!
                                                                                    Привет! :D
                                                                                      +2
                                                                                      Параша ваш Мэил.ру, не первое тому подтверждение
                                                                                        0
                                                                                        Был у меня корпоративный почтовый акк для переписки с узким кругом коллег.
                                                                                        Спама на нем за 3 года было от силы пару писем в день.
                                                                                        Неделю назад послал мыло коллеге у которого акк на мейлру.
                                                                                        Буквально через пару дней после этого корпоративный акк накрыло волной спама.
                                                                                          +1
                                                                                          Я еще у mail.ru нет IMAP…
                                                                                          +1
                                                                                          да у маила много недостатков. Однако мой первый ящик появился именно там, и теперь использую его для регистрации на различных форумах, где не жалко засветить адрес

                                                                                          А еще у них есть очень малоизвестная версия сайта без рекламы
                                                                                          –2
                                                                                          а на mail.ua с этим всё в порядке:

                                                                                            +2
                                                                                            Хмм, и? И еще у тысяч бесплатных почтовых серверов все в порядке…
                                                                                            0
                                                                                            Я тоже использую мэйл.ру в основном для регистрации на форумах или любых других сайтах. Для личной почты использую gmail. =)
                                                                                              +1
                                                                                              Поправлено? Главная страница:

                                                                                              form name=«Auth» method=«post» action="http://win.mail.ru/cgi-bin/auth" style=«overflow: hidden;»

                                                                                              input type=«submit» value=«Войти» tabindex=«6» class=«submit»

                                                                                              /form

                                                                                              Разве submit не в открытом виде пойдёт?

                                                                                              У яндекса вроде на этот счёт ровно:

                                                                                              form action=«passport.yandex.ru/passport?mode=auth...;retpath=http://mail.yandex.ru» method=post onsubmit=«return (window.navigator.yHTTPSsupport? secureForm(this): true);»

                                                                                              А вот у хабра как? Может кто пояснит, пасс разве не в открытом виде летит:

                                                                                              form action="/ajax/auth/" method=«post» class=«register register_form tm-form ajax» name=«login»
                                                                                                0
                                                                                                В моем топике речь шла несколько о другом, и тот недостаток кажется уже исправленным. Что не уменьшает значимости косяка, найденого Вами.

                                                                                              Only users with full accounts can post comments. Log in, please.