Язык Swift был представлен сообществу чуть больше года назад, что вызвало достаточно большой резонанс в среде разработчиков, при том не только iOS и OS X.
Но еще больший резонанс вызвал тот факт, что Apple пообещала открыть код компилятора и анонсировала возможность поддержки языка для операционных систем на базе linux.
С 00:00 первого января, до 16:30 четвертого января, в заголовках писем, пришедших в Яндекс.Почту, будь то @ yandex.ru или почта для домена, вместо месяца получения письма попадали куски кода на сях.
Пример заголовка:
С товарищем akke, который изначально и обнаружил столь странную штуку, мы собрали все кусочки, которые попадались, собрав заголовки из 400 писем.
Некоторое время назад мне на глаза попалась обычная xss на сайте МТС.
Моему удивлению не было предела, как разработчики такой компании могли допустить такую банальную ошибку?!
Пару дней назад, вспоминая ту xss, было решено провести поиск уязвимостей на сайтах большой тройки.
Тогда я понял, что это были цветочки.
Данная уязвимость была найдена мною порядка двух месяцев назад, или даже больше.
Тогда информация была отправлена разработчикам, и они успешно её фиксанули.
Как мне на тот момент показалось.
Вскоре стало понятно, что они её вовсе не пофиксили, а просто ограничили доступ к сообщениям, на которые я в тот раз обратил внимание разработчиков.
Процесс получения доступа, я постараюсь достаточно подробно описать под катом.