Взлом пароля почты или как узнать пароль e-mail

Февраль 19, 2014

Интересно прочитать чужую переписку или угнать что-нибудь полезное при помощи доступа к e-mail пользователя? Тогда эта статья для Вас — попытаемся разобраться, как же возможно узнать пароль почты (e-mail).

Совсем недавно один из моих почтовых ящиков был взломан, находился он на Mail.ru. Я заподозрил, что при взломе пароля почты использовались какие-то уязвимости этого популярного сервиса почты и пошел разбираться, где же проблема.

Прошло немало времени и сил, однако дыра была найдена — и это не совсем дыра, а скорее целые ворота настежь открытые, что называется «приходи и забирай пароль». Точно не знаю, этот ли лазейку использовали взломщики, это и не важно. Но где лежит найденная дыра и как ее можно прикрыть, я вам сейчас расскажу и покажу.

Вставьте скрываемое содержимое внутрь блока!

Итак, шаря по настройкам, вот ссылочка:

win.mail.ru/cgi-bin/options?#######

я вдруг наткнулся на поразительную ссылку вот такого вида

win.mail.ru/cgi-bin/userinfo?#######

под названием «Анкетные данные: Здесь хранится информация, введенная Вами при регистрации почтового ящика: а именно, ФИО, дата Вашего рождения, а также некоторые настройки для Мail-Агента».

Чтоб было понятно: несколько лет назад на волне моды на собственные интернет-пейджеры в Mail.ru сделали аналог ICQ — Mail.ru Агент. Сама программка была ужасно глючная и медленная, что сейчас собой представляет этот мессенжер, я не знаю и как-то не очень хочеться. Агент ставился по умолчанию при регистрации и помимо чата и проверки почты еще и собирал о пользователе данные о том, чем он в сети занимается — то есть попросту шпионил за ним.

Тогда это еще не считалось зазорным — на другом крупном портале, забыл название,такого шпиончика («колобка», кажется) втыкали всем, кто сдуру браузер на нем открывал, причем «колобок» еще и деинсталляции не поддавался. От Агента же хоть отказаться было можно. Собранные подобным образом данные предполагалось рекламодателям продавать.

Через какое-то время пошла война борьбы с адварезами и мальварезами, да и пользователи поумнели, и сейчас Агент ставят в основном подростки да прочие чайники. Однако оказалось, что в веб-настройки Mail.ru всем пользователям задним числом добавили экранчик вот такого вида!

И все подчеркнутые мною галочки там были по умолчанию отмечены. В том числе галочка «отображать эти данные в Mail.ru Агенте». То есть, если вы регистрировали почту на Mail.ru до того, как был придуман Агент, начиная с какого-то момента все ваши основные личные данные (имя, фамилия, дата рождения) стало возможным увидеть через Агент.

Одновременно с этим в Mail.ru была создана программная «система восстановления пароля». Если вы нажмете на «забыл пароль», вам предложат дать ответ на контрольный вопрос.

И чтобы не перегружать техподдержку тысячами писем от пользователей, в Mail.ru

сделали намного проще (ну Вы уже поняли, чем грозит данная простота). «Воспользуйтесь системой восстановления пароля». И это не переписка с администраторами, а обычный скрипт на сайте:

mail.ru/cgi-bin/passremind

Самое интересное, что чтобы узнать пароль почты, совсем не обязательно точно заполнять все предложенные поля, достаточно лишь угадать / подсмотреть / выманить какую-то их часть. И скрипт на сайте вылажит пароль на тарелочке — вышлет его на тот почтовый адрес, который Вы(!) укажете.

Вы спросите, а что за данные нам нужны? Имя, фамилия, год рождения. Ну наверное, уже все дагадались, откуда их взять, правильно — посмотреть в анкете в программке «Mail.ru Агент».

Можно лишь сказать, что у популярного почтового сервера «одна рука не знает, что делать другая». Одна из них вешает замок на дверь, а другая кладет ключ под коврик и радуется.

Одни менеджеры используют пользовательские данные для хранения секрета, другие выставляют их напоказ для раскрутки социальной сети и удовольствия рекламодателей. Сколько времени так продолжалось, я не знаю — возможно, несколько лет.

Анкеты пользователей Mail.ru стали доступны через «Агент» без ведома их владельцев и сейчас становятся доступными по умолчанию. И этих данных вполне достаточно, чтоб, зная ваш адрес, взять у Mail.ru ваш пароль. Такими методами активно пользуются профессионалы в НЛП не только для того, что бы взломать пароль почты, но и вообще для своих «тёмных деяний». Одно из самых главных аксиом которого — «даже самые безобидные данные могут сыграть решающую роль».

Скорее всего, это не последняя дыра в Мэйл.ру, тем более, что очень часто уж говорят о продаже почтовых баз данных спамерам. Конечно, вериться с трудом, но «дыма без огня не бывает!». А данная «ошибка» не ошибка вовсе, это уже просто непостижимая глупость со стороны менеджмента и программистов Мэйл.ру.

Попадёте ли Вы на эту уловку или нет, но первым действием в данном случае считаю нужным:

  1. открыть ваш ящик на Mail.ru, List.ru, Bk.ru или Inbox.ru (если Вы уже не отказались от использования). И вообще, советую Вам заводить платные и надёжные почтовые ящики на серьёзных почтовых службах, если Ваша переписка дорога и Вы не хотите потерять не только почтовый ящик, но и хостинг, ICQ номер и многое-многое другое, что зарегистрировано на него;
  2. войти в настройки «Анкетных данных»;
  3. отключить все галочки, лучше абсолютно все до одной;
  4. и поменять ВСЕ обязательные анкетные данные.

Пока все эти возможности в вашем почтовом аккаунте не отключены – вы уязвимы! Впрочем, абсолютно безопасной защиты e-mail ещё не изобретено (я уже не говорю о таком методе, как подбор пароля почты, если пароль элементарный), да и, наврятле, будет изобретено…

Источник: www.woolfs.ru

Категория: Электронная почта

Похожие статьи: