Ограбление по-дилетантски-2 или о том, как Mail.ru хранит пароли

    Добрый вечер Хабр! Сегодня пятница, и я снова в эфире!
    Этот топик не будет отличаться оригинальностью, и в нем я снова буду сыпать соль на раны клиентам бесплатных почтовых служб. В комментариях к моему предыдущему топику «Ограбление по-дилетантски или о том, как Яндекс хранит пароли» bar_boss указал, что Mail.ru так же не отличается заботой о защите пользовательских учетных данных. Я решил проверить, и вот результат — та же самая уязвимость во всей красе. Пользователи Майл.ру, привет! Говорить о неповоротливости службы поддержки Майла, в отличие от аналогичной службы у Яндекса, можно часами. Делаем ставки, как долго указаная уязвимость не будет закрыта…

    UPD Сапорт Mail.ru все-таки читает Хабр, спустя сутки, уязвимость кажется уже справлена.
    UPD2 А RNZ предположительно нашел другой случай передачи паролей открытым текстом.


    Все просто как в детской считалке:
    1.


    2.


    3.


    4.


    5. Заглядываем в исходный код страницы, все как на ладони!


    Они и не подумали прикрыть незащищенную задницу пользователя хотябы https, как и в случае с Яндексом. Последний тем временем все у себя уже исправил.
    Пользователи бесплатных почтовых ящиков все еще надеятся, что их данные надежно защищены? Еще как!
    Поделиться публикацией

    Комментарии 93

      –66
      писец.
      на хабре что, одни идиоты?
      а как по вашему должен зранить пароли СБОРЩИК почты? если они будут в закрытом виде — то он и залогиниться на сервер не сможет.
        +29
        Понятно, что хранить придется в открытом, проблема в том, что он их показывает
          +5
          Поддерживаю.

          Ничего не мешает отсылать пользователю просто мусор в пароле (а лучше вообще пустой). При отправки формы шифровать пароль и передовать. Хотя бы так.
            –1
            Вы что. Для этого мозг нужен. Тем более майл.ру сделан так, что бы мозг не нужен был при чтении и отправки почты :-)
              0
              Ну так ведь в расчёте на аудиторию.
                0
                Мэйл ру сделан так, что мосск вообще не нужен :) Ни в каком случае :)
                  0
                  Возникает резонный вопрос, а ну же ли сам мейл.ру?
            +3
            Сборщик отдавать никому в открытом виде обратно не должен. Уже обсуждалось в предыдущем топике.
              +12
              Но зачем сразу в форме выдавать вбитый реальный пароль?
              Выводили бы «mypassword» и проверяли, если не изменили поле и оно все еще с тем же значением — значит смены пароля не было.

              Это действительно показатель «легкого» отношения к безопасности клиентов.
                +1
                Это виртуальная девушка. Вы так наивны.
                  +4
                  Извините, не так Вас понял =)
                  +2
                  Сборщик должен хранить пароли в ЗАКРЫТОМ виде, но используя двустороннее шифрование (то есть с возможностью расшифровки), это конечно не панацея, но добавит проблем взломщику. А в форме смены пароля должно быть вообще что-нибудь типа VALUE="##do-not-change-saved-password##" (но уж никак не пароль!). Ну и https конечно нужен.
                    0
                    А если у моего ящика пароль '##do-not-change-saved-password##' ⊙﹏⊙
                    Я не очень в веб-программировании, но как на счет присылать пустое VALUE, а звездочки пока поле пустое эмулировать (так же, как выводится «Поиск по сайту» в поле ввода тут на хабре, в самом верху).
                    +1
                    да… на хабре много идиотов… обычно их коменты не видны…
                    –12
                    Как вы сможете использовать данную уязвимость для атаки какого-то конкретного почтового ящика?
                      +4
                      Зная, что мы сидим с жертвой на одном и том же спутнике — просеять эфир.
                      Проснифит трафик со свитча.
                      Да как угодно. Подойти к кпомпу, когда жертва залогинилась в почту и отвлеклась, и посмотреть — повреждения не требуется.
                        +2
                        «Подтверждения ввода мастер пароля», я хотел сказать.
                          –9
                          Да, но точно так же вы можете отснифать пароль, который передает жертва POST-запросом при логине на mail.ru.
                            –1
                            Способов миллион, как узнать пароль от «мастер»-ящика.
                              +3
                              про ssl слышали что-то?
                              –10
                              И все-же я спрашивал, как перехватить какой-либо конкретный пароль.

                              Взять, например, мой ящик — zepps@list.ru. Если в личку вышлете мне мой пароль, тогда все будет понятно.
                                +1
                                Этот топик не про сам взлом почтовых ящиков на мейл.ру, а про его последствия. И да, я не хакер.
                                  –10
                                  Я так полагаю, что этот коммент минусуют те, кто любит рассуждать о том, как элементарно хакаются ящики на mail.ru и то что это может сделать даже пенсионерка. Но как только им предлагается попробовать самим это сделать, то это предложение задевает за живое.
                                    +11
                                    Вопрос не в том на сколько сложно или просто вскрыть ящик на мейл.ру, вся соль в том что если такое случиться жертва лишится всех аккаунтов с которых собирается почта с помощью этого самого мейл.ру.
                                      –8
                                      в упор не могу понять — что такого в хранении пароля на странице, на которую можно попасть уже зная пароль?
                                      только не надо рассказывать про инет-кафе, где можно узнать пароль зазевавшегося посетителя, отошедшего покурить и
                                      не закрывшего окно почты. это из другой оперы.
                                      паранойя у некоторых товарищей иногда просто зашкаливает.
                                        +6
                                        Ок вот объяснение на пальцах.
                                        Есть аккаунт А@mail.ru, B@yandex.ru, C@rambler.ru и тд.
                                        Аккаунт A@mail.ru является главным и собирает почту c аккаунтов B@yandex.ru и C@rambler.ru.

                                        Человек получает доступ к аккаунту A@mail.ru и с помощью данной недоработки получает доступ к B@yandex.ru и C@rambler.ru, потому что сервер mail.ru вернул их пароли в открытом виде в форму.
                                          +7
                                          Если человек получил доступ к аккаунту A@mail.ru, то остальные пароли ему уже не нужны, ибо вся интересующая его почта и так уже на A@mail.ru собрана. :)
                                            0
                                            логично :)

                                            Но все же согласитесь, что вред от того когда пароль отдается в открытом виде больше, чем от просто собранных писем.

                                            Можно сейчас кучу ситуаций придумать, но зачем?
                                              0
                                              Ну я и не спорю, что открытые пароли — нехорошо :)
                                              0
                                              Одно дело читать письма, и совсем другое — на них отписывать (-;
                                                +2
                                                > ибо вся интересующая его почта и так уже на A@mail.ru собрана

                                                А если человека интересует не пришедшая уже сейчас почта, а та, что придёт позже? Например, пользуясь приведёнными адресами предположим, что на B@yandex.ru зарегистрированы домены/хостинги и можно запросить восстановление пароля для доступа в административные интерфейсы, а на C@rambler.ru — чисто гипотетически, аккаунт paypal с авторизованной кредиткой. На получение всех этих данных потребуется накое-то время, так что владелец адресов, обнаружив взлом A@mail.ru, вполне может успеть поменять пароли к ящикам, чтобы сборщик от mail.ru ничего не получил. Если же злоумышленник может посмотреть пароли к другим ящикам, то велика вероятность, что истинный владелец ничего поменять уже не успеет.
                                                  0
                                                  Согласен, сразу не подумал.
                                          –2
                                          вот тебя несет то, ты сам вчитайся в свои посты, ты чего-то не понимаешь видемо в этой жизни…
                                          речь не о том как легко хекаеца ящик или не хекаеца на мейл.ру
                                          а данная уязвимость поможет нам если мы уже имеем доступ к ящику на котором настроен сборщик =\
                                          вооообщем вы не в теме…
                                        • НЛО прилетело и опубликовало эту надпись здесь
                                            +5
                                            Нельзя на js через DOM залезть во фрейм с другого домена.
                                            • НЛО прилетело и опубликовало эту надпись здесь
                                            +1
                                            Да не только же в сниффинге дело. А ещё в том, что при угоне одного ящика взломщик может запросто получить реквизиты нескольких других.
                                              +1
                                              Если вы сидите с жертвой рядом, на одном спутнике или можете получить доступ к свитчу, можно просто поснифать POP3-трафик и узнать пароли от любой почтовой системы. А еще можно трояна на машину поставить и узнать ваще все :)). Во всех остальных случаях описанная вами «уязвимость» бесполезна.

                                              Вывод: безопасность она не уменьшает.
                                                0
                                                Не совсем так. Если у человека настроен собиратель почты, то пароли от других ящиков по pop3 с его машины никуда не передаются как бы.

                                                Если чел ходит в почту через web, то в момент логина mail.ru переключается на https, так что пароль их ящика вы прослушкой не утянете, а вот остальные пароли- запросто. А если человек ходит через проксик, то они еще и на диске окажутся.

                                                Ну а ситуацию с угоном пароля от ящика на mail.ru уже разбирали.

                                                Так что безопасность уменьшается и еще как.
                                                  0
                                                  Хотелось бы ссылочку на «разбор угона».
                                                0
                                                о да! Помню времена своей «рыбалки» на тарелке. Помимо мега потока порева, еще можно было страницы получать, причем нередко с закрытых частей сайтов и с паролями :)
                                                0
                                                трояном пошарить в кеше браузера, снифить трафик… да в конце концов пользователь может сам сохранить себе страницу а она потом попадет не в те руки
                                                • НЛО прилетело и опубликовало эту надпись здесь
                                                    –1
                                                    Во фрейме на любом сайте сделать ссылку на эту страницу, если юзер залогинен, то из родительского фрейма яваскриптом читаем пароль
                                                    +4
                                                    интересно, мне одному мозолит глаза написание «майл»?
                                                      0
                                                      Соглашусь и исправлю.
                                                      +1
                                                      мэйлру вообще мало о чем заботится. эталон кривизны просто. лагает все, что может…
                                                        +1
                                                        Странно, я противоположного мнения.). Их версия интерфейса edu.mail.ru позволяет выполняет те задачи, которые я на нее возлагаю, и система их выполняет…
                                                        –8
                                                        Проблемы нет. Покажите мне хоть одного у кого таким образом украли пароль от почты…
                                                          –3
                                                          Кто следующий на очереди? Rambler? Или где еще держат почту хомячки, не осилившие Gmail?
                                                            +2
                                                            Как самодовольно — «хомячки не осилившие». Мне вот не нравится гмейл. Ящик есть просто по историческим причинам…
                                                              –7
                                                              Гуглофилы такие гуглофилы :-)
                                                              0
                                                              Да, давайте посмотрим как с этим у Рамблера?

                                                              И узнаем кто реализовывал там сборщик почты.
                                                                0
                                                                И ещё одну «сенсационную» статью? :(
                                                                  +2
                                                                  Если так, то я просто проведу анализ почтовых серверов рунета и сделаю краткое резюме по теме.
                                                              +1
                                                              Не понимаю в чем проблема.

                                                              Если трафик слушается, то пароль отснифят еще когда он на сервер идет.
                                                              Если браузер или ОС заражен, то его стырят в момент ввода.

                                                              Если ни то и ни другое, то что плохого в том, что сервер вернул пароль обратно?
                                                              Где он может засветится.
                                                              Сервер отдал пароль пользователю который его и так знает.
                                                              Заглядывание из-за плеча не в счет, так можно что угодно взломать.

                                                              Работа без https это в 100 раз большая дыра чем, то что сервер возвращает пароль обратно.
                                                                0
                                                                Сорри, протупил.
                                                                  0
                                                                  >то что плохого в том, что сервер вернул пароль обратно?
                                                                  Он вернул другой пароль.
                                                                  –2
                                                                  Бесплатное оно и в Африке бесплатное!
                                                                    +12
                                                                    Создатели GMail думают иначе.
                                                                      –4
                                                                      Хорошо там, где нас нет?
                                                                        0
                                                                        Ну я там есть :)
                                                                    +4
                                                                    Извините, у меня ещё осталось 50 приглашений на Gmail, может поделиться с вами?
                                                                    • НЛО прилетело и опубликовало эту надпись здесь
                                                                      +12
                                                                      Gmail умнее )
                                                                        –5
                                                                        Снифферы, троян шарит в кэше… Как все сложно.

                                                                        Злоумышленнику достаточно встроить на свою страницу скрытый iframe с адресом win.mail.ru/cgi-bin/rpop, с помощью js нажать на кнопку «изменить», и с помощью него же вытащить из поля значение пароля.
                                                                          +2
                                                                          В ифрейме с другого домена JS-ом особо не разгуляешься.
                                                                            –3
                                                                            Не знаю поменялось ли что-то принципиально в безопасности браузеров в этом плане, но во времена моей бурной интернетной молодости мне этого хватало, чтобы посетители сайта про меня и моего хомячка голосовали за него в распостраненых в то время любительских site-award'ах, сами не подозревая о том.
                                                                              0
                                                                              изменилось принципиально — появились кросс-доменные политики.
                                                                                +5
                                                                                Значит заслуженно заминусовали — глупость сказал. Простите дурака.
                                                                          +6
                                                                          В позапрошлом-прошлом году ставил с mail.ru эксперимент, сутью которого было выяснить, откуда там берутся такие неразгребаемые горы спама.
                                                                          Подопытный ящик имел название вроде zakaz-archilib@mail.ru.
                                                                          Информация о ящике нигде не публиковалась.
                                                                          Ящик не вскрывался пол года.
                                                                          Через пол года в ящике было порядка 450 спам-сообщений…

                                                                          PS.Вы всё еще пользуетесь mail.ru?
                                                                          • НЛО прилетело и опубликовало эту надпись здесь
                                                                              +1
                                                                              Ну собственно говоря, так и предполагалось. Просто было интересно проверить.
                                                                              +1
                                                                              Не Вы один это проверили. Но кстати стоит зайти в ящик через неделю — там уже спама хватает. Причём спама изощрённого, который спам-фильтры (почему-то до сих пор) не ловят.
                                                                              • НЛО прилетело и опубликовало эту надпись здесь
                                                                                +2
                                                                                mail уже не удивляет данными дырами
                                                                                  +1
                                                                                  я был в офисе мейл.ру. Я мог остановить это безумие, но небыло взрывчатки…
                                                                                    0
                                                                                    А между тем Mail.ru собирается приобрести ICQ
                                                                                  –1
                                                                                  пароль — SerezhenkaZverev? :D
                                                                                  это уже клиника, ребята ))
                                                                                    +3
                                                                                    >Пользователи Майл.ру, привет!
                                                                                    Привет! :D
                                                                                      +2
                                                                                      Параша ваш Мэил.ру, не первое тому подтверждение
                                                                                        0
                                                                                        Был у меня корпоративный почтовый акк для переписки с узким кругом коллег.
                                                                                        Спама на нем за 3 года было от силы пару писем в день.
                                                                                        Неделю назад послал мыло коллеге у которого акк на мейлру.
                                                                                        Буквально через пару дней после этого корпоративный акк накрыло волной спама.
                                                                                          +1
                                                                                          Я еще у mail.ru нет IMAP…
                                                                                          +1
                                                                                          да у маила много недостатков. Однако мой первый ящик появился именно там, и теперь использую его для регистрации на различных форумах, где не жалко засветить адрес

                                                                                          А еще у них есть очень малоизвестная версия сайта без рекламы
                                                                                          –2
                                                                                          а на mail.ua с этим всё в порядке:

                                                                                            +2
                                                                                            Хмм, и? И еще у тысяч бесплатных почтовых серверов все в порядке…
                                                                                            0
                                                                                            Я тоже использую мэйл.ру в основном для регистрации на форумах или любых других сайтах. Для личной почты использую gmail. =)
                                                                                              +1
                                                                                              Поправлено? Главная страница:

                                                                                              form name=«Auth» method=«post» action="http://win.mail.ru/cgi-bin/auth" style=«overflow: hidden;»

                                                                                              input type=«submit» value=«Войти» tabindex=«6» class=«submit»

                                                                                              /form

                                                                                              Разве submit не в открытом виде пойдёт?

                                                                                              У яндекса вроде на этот счёт ровно:

                                                                                              form action=«passport.yandex.ru/passport?mode=auth...;retpath=http://mail.yandex.ru» method=post onsubmit=«return (window.navigator.yHTTPSsupport? secureForm(this): true);»

                                                                                              А вот у хабра как? Может кто пояснит, пасс разве не в открытом виде летит:

                                                                                              form action="/ajax/auth/" method=«post» class=«register register_form tm-form ajax» name=«login»
                                                                                                0
                                                                                                В моем топике речь шла несколько о другом, и тот недостаток кажется уже исправленным. Что не уменьшает значимости косяка, найденого Вами.

                                                                                              Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                                                              Самое читаемое