войти зарегистрироваться

Информационная безопасность whois

индекс
212,69

ВНИМАНИЕ! QIP.RU ВЗЛОМАН!

UPD2: Товарищи, зачем вы какаете в карму… Что в этот раз вам не понравилось?? капец…
UPD: Выложенные пароли от админки уже заменены, чтобы не превращать главную в чат:)

НЕ КАЧАЙТЕ ОТТУДА НИЧЕГО ДО ОФИЦИАЛЬНОГО СООБЩЕНИЯ АДМИНОВ!

Пруф-линк — qip.ru/

Скрины 'as is':
+327
8 мая 2009, 02:37
highw

комментарии (453)

  • и не спится же кому-то :)
    • Радует то, что пользователи, которые ночью спали, а утром не читали хабр – останутся в блаженном неведении о ночном чате :)
      • А что там был за ночной чат?
    • раскрыть комментарий
  • Да уж, этот факт должен серьезно подорвать репутацию qip'a
    • Тут целый день репутацию квипа методично в грязь втаптывают
      • По-моему тут целый день всего лишь констатируют, что квип методично втаптывает в грязь собственную репутацию.
        • Вообще он начал это делать уже несколько лет назад, и всё также преуспевает.
          • Не вижу противоречия с тем, что я написал ;)
      • и ночью тоже, и ночью тоже!
      • День… Ее уже несколько лет пытаются подорвать. Только основная аудитория это не видит.
    • Ничего с репутацией не случится до того момента, пока офисный планктон не увидит сломанную программу.
    • На самом деле хакнуть всё можно…
      А кипом я раньше любил пользоваться…
      Пока на миранду не переполз…
  • офигеть… интересно базу забрали?
    • ну не оставлять же было :-/
      • ну не факт что у них туда был доступ
      • Базу джаббера точно не стырили. У них в нее доступ только к вызову хранимых процедур.
        • А пароли где хранятся?
          • пороли от аккаунтов джаббера в ejabberd базе и у сайта есть только процедура, которая по паре логин, пароль отвечает y или n
          • Пароли пошифрованые могут и должны хранится. Хотя если у вас пароль 123, то и это не поможет.
    • НЛО прилетело и опубликовало эту надпись здесь.
      • www.plati.ru/asp/pay.asp?idd=776222
        • НЛО прилетело и опубликовало эту надпись здесь.
        • НЛО прилетело и опубликовало эту надпись здесь.
        • мб фэйк? 200$ всего…
          • А какой смысл там делать фейки? Там деньги просто так не вывести, типа если за неделю (примерно, точно не помню) не будет претензий — выводи.
            Просто для смеха?
            • Хм, тем временем цена уже стала 75$…
      • «Админка сайта и база данных пользователей мессенжера — это несколько разные вещи, если что. „
        А тот факт что квип себе на сервак укладывает копию контакт-листа это ничего по вашему?
        • НЛО прилетело и опубликовало эту надпись здесь.
  • пиздато а как мы узнаем что «сообщение от админов» это таки от админов? :)
    • ну я думаю завтра все успоскоится… и отпишутся
      • Уже отписались — видите большими красными буквами предупредили ничего не качать и передали приветы?
        • НЛО прилетело и опубликовало эту надпись здесь.
          • а разве нельзя?
            • НЛО прилетело и опубликовало эту надпись здесь.
              • ты кем будешь, родной?
                • НЛО прилетело и опубликовало эту надпись здесь.
                  • Кмк лучше при цитировании использовать кавычки.
  • мда… сегодня прямо день ненависти квипа
    • Предлагаю сделать национальным праздником)))
  • Скриншот одним куском удобства ради.
    • пока делали скрин, приветы поменять успели :)
  • НЛО прилетело и опубликовало эту надпись здесь.
    • кому что…
    • Вам надо чтоб вам квип мигающий Поп-ап баннер выкидывал с бегал по экрану, чтоб вы поняли, что это не PR?!
      • НЛО прилетело и опубликовало эту надпись здесь.
        • НЛО прилетело и опубликовало эту надпись здесь.
  • чёрт! опять пароли менять…
    я был одним из тех, кто «доверил хранение своих пассов на их сервере»…
    • Попробуйте не пароль, а протокол сменить — говорят помогает.
      и пароль старый юзать можно будет )
      • Протокол желательно на XMPP поменять.
        • раскрыть комментарий
          • Так сказало IETF.
            RFC на спецификацию MSN запилили при попытке стандартизации :-)
            • <irony>Происки Торвальдса со Столлманом, не иначе. И/или Шаттлворта. Ну в самом деле — не может же Microsoft разрабатывать настолько кривые протоколы?</irony>
              • может.
              • В том же формате ворда UB есть.
              • Ну, кстати, на мой взгляд протокол MSN не особо крив. Есть шороховатости, но вцелом задачу свою выполняет.

                Я, правда, знаком с ним лишь на уровне того RFC.

                IETF запилили его скорее всего из тех соображений, что не было как минимум двух совместимых реализаций сервера — есть какое-то подобное требование.
        • квип и так через xmpp работает. в том числе.
      • А как смена протокола поможет, если использовать старый пароль?
        • шутка юмора была
    • А я предупрждал
  • Что то админы ещё спят…

    обвнолено сообщениие:
    «bro0 ist der Beste!!! :-)))

    from brute.ru-hacker with love!!! 23»
    • Рута крадут обратно )
  • кто там доверял все пароли квипу?))
    • Они хранятся совершенно на другом сервере, если глянуть что куда отправляется
  • На античате уже пароли к админке выложили…
    • чет уже не пашут
      • Может и фэйк, я не проверял) А может уже поменяли.
        • поменяли) почитайте главную квипа)
          • Там на глагне уютный чятик, да.
  • Прямо улыбочка на лице.
  • От представителей проекта так до сих пор ничего и не слышно?
    • Мне кажется они пока спят спокойным сном)
      • да ну… выложенные пароли уже неподходят)))
        может проснулись… а может уже поменяли вместо них :D
        • А может, и фейк был — что тоже немаловероятно :)
        • судя по дефейсной новости на qip.ru, какая-то «белая шляпа» пролезла впереди всех скрипт-киддосов и, из чувства глубочайшего сострадания к админам и разработчикам, поменяла пароли на другие O_o
      • Забавно… А ведь и правда — у подобных проектов часто никто не знает, как связаться с разработчиком… А те кто знают, не лазят по сайту проекта в три утра…
      • Уж лучше неспокойным ) Проснуться, зайдут и тут такое…
  • интересно статистика, которую qip отправлял на сервер тоже теперь «доступна» этому/этим товарисчам
    думаю многих ответ на этот вопрос приятно удивит
  • Miranda FOREVER!
    • всем мирандовцам чмоке!1
      • раскрыть комментарий
        • до нас? каким образом?)
          • раскрыть комментарий
            • вы сумашедший?
              причем тут сайт вообще?

              у нее вообще код открытый — надо, качайте
              • раскрыть комментарий
                • Собственно сборки основываются на оригинальном ядре+плагины от Miranda Team. Поэтому при желании можно просто сравнить размер файлов и md5-хеш от нужной версии.
                • а как вы представляете открытую сборку? все в исходниках?
                  простите, но такое извращение даже не под каждый дистрибутив линуха встретить можно.

                  Суть не в том чтобы каждый читал код перед сборкой, а в том, чтобы была такая возможность.
            • Каким же «таким же»? Дефейснут сайт? А как это затронет пользователей? Миранда не хранит пароли пользователей на своём сервере, в отличие от.

              Так что это «и до вас доберуться» от товарища выше — просто от нечего сказать ;)
              • Нифига себе новости! А за каким это квип у себя хранит чужие клиентские пароли от чужой мессенжер-сети?
                • Да это ещё не самое смешное. Самое смешное — это то, что «по рассказам очевидцев» галка «сохранять пароль на сервере» по умолчанию стоит, а чтобы её убрать — нужно залогиниться. Следовательно последовательность действий такая: логинимся — (пароль сохраняется на сервере, т.к. галка стоит) — лезем в настройки и убираем галку. А пароль уже улетел.
                  «Вот такая, панимашь, загогулина!»
                  • раскрыть комментарий
                    • Да поможет!

                      Информация об этом супер-ключе, разумеется, появляется при первом запуске, перед логином, предупреждая, что пароль сейчас улетит на сервер. Или висит на главной странице qip.ru. Ну или как минимум на странице скачивания…
              • *доберуТСя, ёлки-моталки!!!

                Дожил… =\
                • Эээ… Вас раздражает правильное написание -тся/ться? =)
                  • Правильное написание — «и до вас доберуТСЯ». Т.к. отвечает на вопрос «что сделаюТ?»
                    • Виноват. Я отчего-то подумал, что Вы отвечали на комментарий Bobos'а, который грамматически совершенно верен (хотя и провокационный по содержанию).
        • GNU GPL не победить! хаха!
        • Да там все скучно — фордпресс, функциональный клиент и никакого пафоса и пассворд сторейджа.
    • Хе хе :)) Это точно
    • было дело — пользовался мирандой
      в свете последних событий (был грешок — юзал инфиум) — думаю — дай погляжу снова
      МОНСТР! а таковых мне не надо :( мне бы чего нибудь попроще…
      подумал — «а чего выделываться?» и поставил на домашнем виндозе SIM (которым уже много лет под линем пользуюсь)
      Вот ОНО!
      Вздох облегчения, безмятежная улыбка…
      и что бы народ не говорил про пиджины, копыта, миранды и квипы — СИМ — дружба проверенная временем!
  • вообще, сурово конечно…
  • Хоть бы скриншоты админки вывесили.
    • ниче интересного
  • ждём базу аккаунтов джаббера qip.ru =)

    хотя я что-то сомневаюсь, что у дефейсеров был доступ куда-то дальше CMS'ки
      • Даже номерков с паролями нету? Обидно.
    • Истина в последнем абзаце содержиться у тебя, надеюсь я.
    • её не будет, прости, всё на других серверах, судя по tcp пакетам
      • ну что бы узнать не фейк ли)
      • епрст, не туда ответил)
        ответ пару каментов ниже.
        • блжад, хабр каменты местами путает, это не я!

    • найдено на античате
      • интересно, что в разделе «пользователи qip» находится
        • конечно же там гигантская таблица вида:
          uin — password

          ))
  • раскрыть комментарий
  • на форуме AntiChat.ru выложили аккаунты от CMS сайта

    налетай! ^_^
    • блин… смотрю я на эти пароли и думаю «Уж какие-то они простые совсем...»

      123456 — самый популярный.
      Админы квипа рекомендуют! :)
      • Похоже, что доступ к админке был у хакеров постарше уже некоторое время. Только сейчас он попал в руки киддисов, которые устроили палево и эту всю дребедень. Это коственно подтверждается оговоркой сердобольного взломщика о том, что у него есть дамп базы недельной давности.

        З.Ы. А пароли, явно, ресетнуты специально…
  • На всякий случай все сменил и ушел к Pidgin'у.
    • Правильно — он пасы вообще локально в xml даже нехешированными хранит -)
      • откуда детали, сэр?
        • Как бэ у Pidgin`a это уже ретро, всем известно — нет?
          • aww, не про то подумал
            сори :)
      • Конечно правильно, в документации это тоже написано открытым текстом. Ибо мессенджер _не предназначен_ выполнять функцию защиты пароля на локальной машине.

        Рассказать как у нас на работе кул-хацкеры тырили пароли через всякие QiP и им подобные?
      • В хэшированном виде пароли хранить бессмысленно, т.к. тогда им нельзя будет воспользоваться для большинства методов аутентификации, а шифровать бессмысленно (покажу на примере psi), т.к. тот же pidgin будет где-то ключ для расшифровки иметь.

        Итого, вы сказали бессмыслицу.
      • А правильно — хранить хеш пароля? о_О
  • Ильхам Зюлькорнеев, надо учить Ильхама, C++ Delphy бесплатные компоненты скачать.
    • десткое порно
    • НЛО прилетело и опубликовало эту надпись здесь.
  • history.qip.ru/ — тут, между прочим, хранится (без моего ведома, естессно), история по jabber-переписке. Когда глушили ICQ-протокол, я тут на 400 страниц наговорил.
    За{эцсамое}ся удалять.
  • Епта, опять пароли менять… Я и так параноик, пожалейте, блин.
    • Параноики юзают кип? 0_о
      • Видимо начинающие…
        Профи предпочитают личные встречи с глазу на глаз в чистом поле в полутора км от оживлённых мест.
      • Это особый вид параноиков-мазохистов: хранят пароли где попало, но панически этого боятся :)
      • Юзают его, чтобы не расслабляться.
  • а тем временем блондинки скачивают qip
    • Пересчитал сейчас md5 суммы экзешника с сайта и с локалки — одинаковые.
      • вывод один — добрые хакеры существуют
      • Это упущение
      • А кто вам сказал что _до этого_ вы скачали чистый qip?
        • Давайте только без паранойи.
        • Я скачал с локальной дс, расшарено было у 5 человек.
          Сомневаюсь, что они все его сегодня скачали.
          Вообщем, если кто ещё захочет проверить, мд5 = ac0994e7b9969bcf9b4cc127c315ea6a
  • Минут 40 назад или 30 скачал квип для телефона, симбиан.

    На главной этого не было, т.е. лучше снести чтоль, типа прога может быть заражена?
    • Да врядли они заразили что-то, а тем более версию под симбиан. Думаю если это было их целью, то всё было б сделано тихо и без лишнего шума.
      • Значит те глюки, что были с этим не связаны, ну хорошо:)
    • 1) Не думаю, что кто-то «портил» клиенты, просто красиво дефейснули главную.
      2) Если и заразили что-то, то до симбовской, ну очень вряд ли, что добрались…
      • Где ж красиво?

        Так верстают только мудаки [x]
  • странно что эксплоитов не напихали…
  • Какбэ обновление

    s49.radikal.ru/i123/0905/32/6c0ec41ba7d0.png
  • Ну всё. Сегодняшний день войдет в историю, как день когда квип окончательно провалился. ИМХО, теперь начнется стабильный отток пользователей в пользу других клиентов.
    • Не будет :)
      • Почему? Репутация подорванна, сегодняшние события быстро расползутся среди пользователей. Да и последняя политика навязывания лишних сервисов тоже не поспособствует повышению популярности.
        • Потому что треть пользователей вообще не узнает об этом, а практически всем остальным будет всё-равно.
          • Я бы сказал 9/10. Рассматривая наш офис в 20 человек — ровно 9/10
        • Среди обычных пользователей QIP далеко не все такие сознательные…
          Так что эффект от взлома ожидается минимальный. С утреца админы всё тихонько пофиксят и скажут что ничего особенного и не было. :)
          • хабрамиссия рассказать всем о взломе сайта :)
        • Вспомните Чёрного Властелина, и что — был отток с хабра?
          • Вы что, Хабр это же священная корова хабра. Немедленно забудьте об этом, вам приснилось
          • Да тут половина на чанах сидит, у них имунитет к ЧВ.
    • А как было бы красиво на 9ого мая это сделать, ещё символику победы, поздравление ветераном такими красными буквами, цвета победы. Эх, поспешили…
      • Ну почему поспешили, у них еще сайт РБК остался на закуску, авось и его вылечат)).
    • Не думаю. Большая часть пользователей квипа даже не подозревает, что есть и другие «лучшие аськи» на самом деле. Да и убедить некоторых других юзеров, даже тех кто посещает хабр и понимает о чём может идти речь — нереально. Пока гром не грянет мужик не перекрестится. Что-то вроде «Взлом сайта??? и чё у меня аська работает.». Вообще сам я перестал хоть как-то уважать квип после того как узнал про то что его купила РБК — слишком уж хитрая это компания, которая никогда не купила бы убыточный проект, или тот у которого нет будущего. Пользователям квипа стоит задуматься чем это может грозить.
      • Ну я уж и не знаю, что нужно людям. И главную ломали, и сервисы навязывали, и трояны впаривали. Осталось только, чтобы, квип при запуске сообщал пользователю, что он (пользователь) полное г… о и что он (пользователь) теперь принадлежит с потрохами компании РБК.
        • Последние новости.

          Вышла спец-версия QIP designed by самизнаетекто. Из нововведений: поп-ап баннер с надписью «Ты — гавно, %username%» и верстка не как у мудаков.
          • Вот зачем Вы им сейчас подкинули выгодную идею? Потребуйти с них за это процент ;)
      • Не ставьте Ubuntu — хитрая компания Canonical на нем зарабатывает!

        P.S.: Вы правда считаете что проект должен существовать либо на энтузиазме либо сдохнуть?
        • Нет, но я считаю что ни к чему хорошему то что он куплен РБК не приведёт. Как уже и выясняется, не буду подозревать их в чём-то или обвинять, но то что они в первую очередь преследуют свои интересы в ущерб пользователям это плохо, но ничего другого от РБК ожидать не стоит. Тут уж каждый сам конечно решает — использовать продукт или нет, и как выясняется многие от него уже отказываются, и не на пустом месте.
          • РБК очень неплохой холдинг, почему у вас такая неприязнь к нему? К тому же это одна из немногих компаний, занимающихся венчурным инвестированием стартапов и веб-проектов на российском рынке.
            • и много по-вашему стоящих стартапов из-под них вышло? :)

              по-моему так РБК уже давно сдулась в этом плане…
              • Они по-крайней мере есть и занимаются этим. У нас с венчурным инвестированием в России не просто плохо, а беда и важен любой фонд. Вот допустим вы пришли туда со своим проектом, допустим убедили бы и вам дали деньги — что вам еще то надо? Дальше в большей степени от вас проект и зависит.
                • Вообще достаточно немного почитать о них и всё встаёт на свои места. Причём что интересно — воруют они совершенно открыто и полностью уверены в своей безнаказанности учитывая то сколько раз уже были случаи.

                  Вот такие комментарии встречаются о них:
                  Интересно, а в РБК есть хоть одно подразделение, которое не ворует? Портал все тырит почем зря, газета ворует, телеканал ворует, интернет подразделение вовсе продает краденую музыку через delit.net. Эххх, нравится мне эта бизнес-модель!
                  • Хм… А телеканал или газета что воруют? А портал? Везде же есть контракты на покупку медиа-материалов и прочие соглашения. Откуда у вас такое вообще?
                    • www.webplanet.ru/news/law/2007/05/07/comments/weaponer_vs_rbc.html

                      Комментарий из этой темы. Что они там воруют — меня мало интересует, но факты были — я не склонен считать что это чёрный пиар. Я ни разу не слышал ничего хорошего об этой компании, постоянно они пытаются что-то урвать нечестными методами, уверен что и не брезгуют обливанием грязью своих конкурентов. Также считаю что не случайно QIP начал терять своих пользователей — уверен, здесь не обошлось без вмешательства РБК, которым по сути плевать на пользователей — их основная цель это как можно скорее получить максимальную прибыль с проекта, суть в том что пользователи от этого мало что выйграют как мне кажется. Поэтому эти плевки в сторону пользователей будут продолжаться.
                      • Не знаю по какому принципу работает венчурный фонд именно у них, но обычно такие фонды лишь спонсируют разработку/развитие, заключив контракт на выгодных для себя условиях(участие в бизнесе, возврат инвестиций, процент дохода и т.п.), а далее разработчики сами изыскивают пути для развития и извлечения прибыли.
        • далеко не у каждой компании есть свой Шаттлворт с кучей $
          • Есть у каждого стоящего проекта либо компании с толковым менеджером. Шаттлворт или какой другой инвестор, но есть.

            И, кстати, Ubuntu вполне себе доходный проект, а не благотворительность Майка.
            • Марка, а не Майка.
              И по-моему всё-таки убыточный, но спорить не буду — лень гуглить :)
              • Ну конечно же Марка, ночь дает о себе знать -/

                Ubuntu имеет несколько контрактов с вендорами, например Dell, а также довольно успешно начала продавать поддержку своих продуктов в последнее время. Растет бренд, ширится поддержка. Если ubuntu на дектопах корпоративного сектора уже не редкость относительно давно, то теперь на рынок подтягивается и Ubuntu Server все более активно.

                Хотя в наше время может уже и убыточный.
              • На Sun Tech Days рассказывали, что MySQL перевели на Bazaar [пойдет как часть Ubuntu?] и теперь они платят Canonical за поддержку :)
  • хоть бы ники писали чтоли перед сообщениями
    а то непонятно кто и что написал
    • «онанимус — это сетевой змей горыныч, у которого явно не все дома и одна голова постоянно спорит с другой» ©
    • и таймстампы
    • Написал, очевидно, Михаил.
  • «Спокойствие, только спокойствие. Базу паролей пользователей никто не сливал, я гарантирую это.» (с)
    • интересно каким образом
      • Ну… так на главной QIP написано))
        • я понимаю) но где доказательства
          • никто не собирается ничего доказывать=)
          • Так напечатали в интернете!
            Какие еще нужны доки!
          • Это как бы ирония.
      • DROP DATABASE
        • Дропает только школоло, всё равно у хозяев бэкап есть.
          • Как я иногда жалею что на хабре нет тэга. Тут это как-то особо актуально.
            • *тэга
              • парсер…
                irony в общем )
                • В тегах к этому посту явно не хватает метки «ёбаный стыд»! Почему до сих пор нет жёпок? Ой, кажется я не туда пишу…
          • Точно. :) Профи втихаря сливают базу, а затем незаметно барыжат или помпезно пускают в паблик «for fun».
            • Профи априори «For Fun» не работают, поверьте на слово ;)
              • далеко не всё на свете упирается в бабло / шкурные интересы
                • Ну ещё кроме бабла упирается в шлюх и блекджек, хотя и это производные бабла.
                  А если серьезно то когда я вижу непонятные действия или события я задаю себе вопрос: «А причем здесь бабло» и, как правило, всё становится сразу понятно
            • Профи априори «For Fun» не работают, поверьте на слово ;)
          • невсегда-невсегда… так что можно попробовать:-)
      • шестое чувство)
    • на античате говорят совсем по-другому
      • лол, там уже пароли выкладывают) интересно, они их на ходу придумывают)
      • балаболов на форумах много

        но всё-таки будем ждать заветный архивчик… ;)
  • А блог инфа тоже вниманием уделили…
  • хуй на главной будет?
  • Не понятно, разве у них jabber сервер и web сервер на одной машине крутится?
    • да что вы, это ж теперь коммерческий проект под крылом РБК :)
      там наверняка *nix кластер с БД под Oracle, обслуживающий ихний jabber сервер
      • Не слишком ли вы высокого мнения об РБК?
        • Да, irony явно не хватает :)
    • Ну… Дело в том, что может Jabber и WEB сервера разные а сервер баз данных один.
      С учетом того, что сервисы у них друг с другом слегка интегрированы, то это весьма вероятно.
      Хотя как у них там на самом деле — я без понятия
  • а ссылку на блог инфа дайте)
  • на античате уже пиписьками меряются во всю…
  • 222233333 — хозяин этой аськи походу сменил ник под напором сообщений)
    • интересно кто и что ему пишет) была был бы у меня аськоклиент…
  • Вроде вернули все…
  • Я думаю, даже если БД юзеров слили-она зашифрована, так что бесполезно.
    • yна античате пишут что там base64
      хотя, кому верить
      • Ну, ведь у QIP есть сервис «хранение паролей на сервере»…
        Значит они уже автоматически не зашифрованы
        • Что значит автоматически не зашифрованы?
          • Раз они хранят пароли на сервере qip.ru «для удобства пользователей», значит эти пароли там хранятся либо в открытом виде, либо обратимо зашифрованы каким-то ключем, который при желании можно «найти».

            Или я ошибаюсь?
          • Пароль хранится на сервере квипа. Чтобы залогиниться на тот или иной сервис нужен именно пароль, а не хеш, поэтому с сервера квипа нужно получить реальный пароль. Так что там если и есть какое-то шифрование, то оно обратимое.
            • Передается пароль, считается хеш-функция, сравнивается с хеш-функцией в базе. Шифрование есть? Есть.

              Используется более симметричное шифрование. Это ведь шифрование? Да.

              Сам факт того, что пароли хранятся на сервере не делает их автоматически не зашифрованными, но повышает риски ИБ.
              • У вас есть хеш вашего пароля. Залогиньтесь с помощью этого хеша на хабр.
                • Какой в этом смысл? Мне кажется мы сейчас вообще о разном.
                  • Попробую разъяснить:
                    QIP предлагает такую «услугу»
                    У тебя в квипе настроено 5 аккаунтов: 1)вконтакте, 2)яонлайн, 3)сам квипо-жаббер, 4)жаббер и 5)аська
                    Ты пришел из дома на работу и решил настроить эти аккаунты там… Придется всю настройку проводить заново.

                    Их предложение: квип сохраняет ВСЕ учетные записи на своем сервере (тип сервиса, логин, пароль) и когда ты придешь на работу и подключишь только учетку 3)сам квипо-жаббер остальные учетки подключатся автоматом!
                    Чтобы эта система работала, нужно хранить на сервере все данные В ОТКРЫТОМ виде
                    • Хм… Интересная «услуга». Это начиная с инфинума такой комбайн держат?
                    • Ну, скажем так, не в открытом, а в ОБРАТИМОМ :)
                      • НЛО прилетело и опубликовало эту надпись здесь.
                        • Толк в том, что чисто принципиально обратимое шифрование — все равно шифрование, а не plain text, потому сторейдж не «автоматически не зашифрованный».
                          А суть в принципиальном докапывании до этой фразы(по крайней мере с моей стороны).
          • И, кстати, если на Jabber сервере SASL аутентификация идет по механизму DIGEST-MD5, то Jabber серверу НУЖНО знать пароль в открытом виде: www.bog.pp.ru/work/SASL.html

            Аутентификация на жаббере QIP идет именно по DIGEST-MD5.
            А у многих пароли/логины от квипо-жаббера совпадают с паролями/UIN-ами от аськи (там любят JID-ы вида 987654321@qip.ru )
            • Ну да, это все меняет. Странное решение, конечно.
            • Нет, ну хореография безопасности была итак понятна, но даже в этом случае они не стали бы хранит базу на том же сервере, да и предоставлять к ней доступ с админки qip.ru

              Ну то есть хотелось бы думать, что это не доведено до маразма. Наверняка ведь сервер аутентификации используют другой?
    • до-до-до! аццки зашифрована и обратно уже никак :)
      там навяернка SHA1 хэш пароля, в лучшем случае
    • Я думаю, у многих пользователей пароли быстро подбираются по словарю
    • хорошо что мне боятся нечего) номер аськи страшнее чем md5 хеш)
      • могут спереть чисто чтобы проспамить с него твоим контактам какую-нибудь ссылку.
        • раскрыть комментарий
          • Нада было * вместо 'е' поставить хотя бы )
            • да какбээээ… не жалко карму=)
        • Ага, а ещё можно пентагоновские сервера ломать, чтобы с них спамить. Иногда быстрее (дешевле) сломать 5 других чайников, чем возиться с одним продвинутым.
      • Номер ICQ с буквами?
    • Буквально вчера лазил по их сайту, читал про микроблог. Куда тыкал не помню, но в итоге свалилось на почту письмо:

      Здравствуйте!

      Поздравляем с успешной регистрацией на сайте friends.qip.ru.
      Для подтверждения e-mail просто перейдите по ссылке
      friends.qip.ru/register/?confirm=54f689554f6f2580da724fc4daeeb3ро

      Ваши регистрационные данные:
      Логин: 1234567@qip.ru
      Пароль: superpass

      Пароль пришел ОТКРЫТЫМ текстом! Извращенцы.
      • а что он должен был придти вам на мыло в виде md5 хэша?
        • Он вообще не должен был ко мне приходить. Зачем передавать пароль в открытом виде?
          Даже если я его забуду пусть сделают процедуру восстановления пароля, но не шлют его открытым.
          • P.S. в смысли пусть пришлют процедуру сброса пароля
            P.S.S. Мда, кто минусуют видимо не подозревают всей прелести того, что к ним в почту сваливаются их пароли ко всем ресурсам. Представте, что ваш ящик взломали, а там пароли ко всем форумам, аське, интернет-банку. Красота…
  • Мессенджеры сосут
    • го обратно в e-mail & Usenet :)
      • Post mail.
        • snail mail
          • Rock carvings
            • Ретроград! Чем глиняные таблички не угодили-то, а? Гораздо проще — выдавил, обжёг и вуаля! Тот же камень.
  • похоже it's over
  • Гуд. Молодцы :)
  • Молчат, гады 8)
  • Вот для таких случаев и не надо, чтобы пароли от аськи хранились где-либо на квип.ру «для удобства».
  • да всё запилили уже, вероятно и на форуме все темы про взлом потрут а авторов побанят
  • кстати анализ вылодженных паролей показывает что их сложность чуть^W стремится к нулю!!!
    • Может пароли те фейковые были) для показухи на античате) а в реале другие)
  • Следующая картинка)
    clip2net.com/page/m0/955969
  • раскрыть комментарий
    • либо же базы с паролями и всёй инфой, которая отсылалась на сервер, куда-то утекут, а разработчики всё свалят на злых хацкеров. Мол, мы не при чем. Скажите им, ага.
    • Это не тщательно продуманный PR дабы привлечь внимание даже тех, кто и не слышал что такое квип.

      Откуда вообще такие мысли берутся?
      • Из головы — откуда же еще? =)
        • Поверьте, у некоторых есть еще много интерестных мест, откуда берутся мысли :)))
    • Чем тут можно привлечь? Тем что QIP может быть взломан каждым вторым школьником?
      Опровержение будет выглядеть глупо, как минимум.
  • Таки да, хранение своих паролей на сервере квипа — очень и очень нужная вещь :)
  • Был бы я разработчиком, уверенным, что пароли утекли-я бы сейчас всем пользователям принудительно сменил их, с отсылкой уведомления на почту
    • сменил пароли и предложил получить их после отправки смс.
      • Отличный пример говно-монетизации. =)))
        Распугать большую часть пользователей, а у самых стойких требовать денег.

        • Что-то мне подсказывает, что 90% отправят смс
    • ахаха. Представьте, что у людей в учетках квипа хранились gtalk-аккаунты. Вы бы им поменяли пароль, выслали уведомление на gmail… Занавес.
      Да и вообще, на какую почту слать уведомление? @qip.ru? Так ее пароль тоже менять надо…
      • я имел ввиду пароли на ICQ, слать на почту, указанную в профиле ICQ
        • Это не находится в компетенции разработчиков QIPа
  • И вообще, квип — типичный пример русского интернет-«бизнеса». Темные истории со стыренным кодом, наплевательское отношение к пользователям, к безопасности, аггрессивный амаркетинг пристроенных рядом помоечных сервисов — и что же, в результате чуваки получили инвестиции :) Учитесь, дети.
    • Тогда уж азербайджанского, а не русского. Ильхам Зюлькорнеев же.
      • Он татарин по моему. Не «азер».
        • Он казанец, ребят…
          • и кажись он только программер основной версии…
            бизнесом бизнесмены занимаются
          • Ух ты! В Татарстане как и в России: Казань отдельно, Татарстан отдельно? Даже национальность отдельная: «казанец» (как «москвич»)? %)
            • Не понимаю смысла в Вашей иронии. Татары живут не только в Казани. Так же по всей(достаточно не маленькой) территории Татарстана, в Крыму (т.н. крымские татары), и во многих других регионах России. Я же всего лишь указал, что данный товарищ живет не в Крыму и не где-то на территории Татарстана, а непосредственно в Казани. А «казанец» это не национальность, а принадлежность к конкретному городу.
              • >Татары живут не только в Казани.

                А в Казани живут не только татары :)

                По-моему товарищей выше интересовало не место проживания, а именно национальность. Ваш ответ «он казанец» не несёт никакой информации. Как раз потому, что в Казани живут не только татары, а татары живут не только в Казани.

                Ну представьте такой диалог:

                — А что это за ****аев? Чеченец что ли?
                — Он казах по-моему.
                — Не, ребята, он из Караганды.

                Вопрос: несёт ли какую информацию 3-я реплика?
                Ответ: нет. Он может быть как казахом из Караганды, так и чеченцем из Караганды :)
  • Надеюсь Хабрадмины смотрят, что происходит: сначала freelance, теперь qip и усиливают защиту)
    • да с хабром тоже когда-то было. так что админы уже наверняка всё продумали.
      • всё не продумаешь
  • Да они все упоротые!
  • Еще пара таких дней и QIP появится в облаке тупой фигни, причем размером с Яблоко.
  • раскрыть комментарий
    • Рекламой и функционалом.
      • Рекламой и отсутствием функционала. А еще — системными требованиями.
        • Рекламой, отсутствием функционала, системными требованиями, а еще протоколом.
          • А ещё тайным подсовыванием по умолчанию всякой мерзости в ваш статус и передачу файлов.
            • свежевзломаный квип страдает тем же самым
          • протокол ICQ у миранды и аськи общий. А вопрос задавали про конкретно официальный клиент. В конце концов, если не нравится протокол ICQ — не надо им пользоваться. Мне он не нравится, так я и не пользуюсь им :)
  • НЛО прилетело и опубликовало эту надпись здесь.
    • При чём тут админы? Сайты пишут не админы, соответственно ошибки в коде допускают не админы.
  • форум тоже поломали

    forum.qip.ru/showthread.php?p=302689#post302689
    • А вот так выглядят названия форумов:



  • Хабралюди, посоветуйте, пожалуйста, удобную сборку Миранды преимущественно для работы с аськой и google-talk?
    • попробуй coffee-project.com/
      • Спасибо за ссылку. Я думал, что проект закрыт из-за конфликтов с лицензией.

        Лучшая сборка которой я пользовался. Сейчас пользуюсь своей, но всем друзьям буду советавоть «конфетку» Hot Coffee.
        • Согласен, лучшая из десятков сборок, которые я пробовал. Здорово, что оказывается продолжается работа над ней! А кто-нибудь в курсе чем конфликт с лицензией закончился?
          • Ничем, официальная команда не поддерживает хоткофее, например когда пляски с аолом были новый icq.dll из официальной сборки в сборке хоткофе не работал ;)
    • miranda-planet.com/forum/index.php?autocom=downloads&showfile=1060 — вот, к примеру
      а вообще можно просто miranda-planet.com/ полистать — за пару минут можно выбрать то что более всего по душе
    • Пользуюсь MirandaLS сборкой. Автоапдейтер мне там нравиться :)
  • Знал я, что с теми, кто пишет на Delphi такие проекты что-то не чисто.
    • Не гоните на Delphi :) Хороший инструмент
    • Да и проект это не только сам клиент
  • истеричка
  • уже полгода игнорирую qip пользуюсь skyp'om, как чувствовал:)
  • НЛО прилетело и опубликовало эту надпись здесь.
    • 403 Forbidden — доступа нет.
      Крепко их подырявили видимо.
  • раскрыть комментарий
    • Жалко у пчёлки в попке.
  • Угнали базу, я запускал еще когдато давно инфинум на одном из 6ков. Естественно пасс неподлежащий бруту. Прекрасным сегодняшним утром подключаться он перестал(kopete, incorrect password). Обидно только то, что контакты перетаскивать на другой номер.
    • Ибо все равно уже больше пользуюсь джаббером и скайпом. В аське есть контаты, которые еще не перешли на хотя бы один из этих сервисов =)
  • НЛО прилетело и опубликовало эту надпись здесь.
  • Мне кажется qip зашёл слишком далеко, сначала микроблоги без разрешения юзеров, пароли на сервере, вот и поплатились.
    Сейчас будет наблюдаться отток пользователей с qip, если конечно новость быстро разойдётся по интернету.
    • Есть люди, которые вообще не используют аську под виндой, не то что qip — никсы, макось. Параноики, но всетаки. Я в том числе. Уже полгода или больше.
    • НЛО прилетело и опубликовало эту надпись здесь.
  • Форум закрыли на qip.ru
  • А ведь могли бы просто втихаря протроянить клиенты для скачивания.
    • думаете, там админы совсем тупые сидят?
      • А это что было?
  • А МОЖНО НЕ ПИСАТЬ БОЛЬШИМИ БУКВАМИ В ЗАГАЛОВКАХ????? А ТО Я ПУГАЮСЬ!!!
  • Очень похоже на спланированый сценарий. Сначала собрали пароли, а потом чтобы ими воспользоваться (продать, например) и снять с себя ответственности их якобы похакали.
  • Я вот до сих пор не понимаю сакральной надобности хранения паролей на сервере. Кому это нужно и кому от этого лучше? Со стороны пользователя все как было (либо вводить пароль, либо оставлять галочку «запомнить») — все так и есть. В каких случаях хранение на сервере мне что-то даст?
    И да — собрал уже свою миранду
    • ну, вообще говоря, так как клиент мультипротокольный это делается для тех, кто не может запомнить все пароли к своим сервисам. Ну или не хочет. То есть идея-то неплохая по сути. Но вот то как это ущербно сделано…
  • Убежал на миранду.

    На вопрос саппорту квипа, как от них полностью удалиться получил следующий ответ:
    К сожалению, такой возможности пока нет на нашем проекте. С уважением, Светлана, служба поддержки проекта qip.

    Собственно сменил все пассы, через миранду удалил jabber @qip.ru
    Еще надо/можно что-нибудь сделать?
    • а зачем еще чего то делать ?:)
    • Попросил удалить акк. вручную.
      Удалили :)

      А может просто пасс сменили :)
  • всегда говорил что qip гумно.
    • я очень давно с ним и как то не заметил всех их наворотов с развитием, а соответственно их минусы (пассы на сервере, история и т.д.)
      • угу, читать нотисы дурная привычка, вышла новая версия и фиг с ним, главное слить и поставить.
        • вы знаете, быть столь категоричным, это гм… ну не хорошо, если все будут читать нотисы, на весь софт который обновляют, и понимать что там написано, то не кому будет дома строить, и людей лечить ;)
          • когда лекартво принемаете, про побочные эффекты и противопоказания тоже не читаете потому что нужно строить дома и лечить людей? :)
      • Когда qip тайно подсунул мне в статус идиотское предложение вроде «Ура! У меня новый qip. Скачать можно по адресу ...», а потом вместо обычной передачи файлов послал ссылку собеседнику на свой дерьмохостинг, он выставил меня каким-то школьным придурком в разговоре с работодателем. После этого случая я никогда эту мерзость больше использовать не буду.
  • Ждем скорого обвала рынка краденых асек :)
    • Такого не произойдет!
      • А че Вы так распереживались?
        Торгуете? :)
        • Аха… и ворую ;) Да просто сомневаюсь что там действовали ради прибыли )
          • Да не в данном случае дело, а в том, что при таком бардаке у квипа рано или поздно базу утащат :)
            • Да если уже не утянули… все может быть)
  • Вот так новость с утра, как раз под кофе!
  • НЛО прилетело и опубликовало эту надпись здесь.
  • есть же ещё хацкеры, которые ломают не только для того, чтобы спам рассылать.
    и на том спасибо что предупредили.
    • а ещё есть которые создают такую видимость ;)
  • Я просто оставлю это здесь:
    www.miranda-im.org
    www.miranda-planet.com
    • Так невинно, просто оставлю тут линку. Может кому сгодится :)
  • Порекомендуйте хорошую сборку миранды, так чтоб поставить и забыть.
    • поставьте и забудьте :))) (можно вообще что угодно) :)))) Выше куча ссылок на миранда-планет. там думаю любую сборку из топа можно ставить ;)
    • kopete
      • Да, это сборка так сборка — к ней и либы KDEшные, и ОС впридачу.
        • Зато потом никаких проблем не будет :)
    • Рекомендую всё же потратить время на сборку своей :) Соберете и забудете — будете наслаждаться :)
    • А я без сборок юзаю.
      Чистую базовую версию + пару полезных плагинов (история, ДР)
      Никакой мишуры, просто тестовые поля для чата и аккуратный список контактов :)
    • HotCoffee. Качайте — не пожалейте.
    • Miranda Like PS
      Очень симпотичная сборка. В первую очередь визуально. Функциональность стандартная. Еще ни разу не падала и не глючила.
    • Miranda LS.
      Есть автоапдейтер на случай траблов с ICQ протоколом.
  • вообще учитывая интересы большей части аудитории qip новость лучше надо было озаглавить примерно так «ШОК!!! QIP.RU ВЗЛОМАН!!!!!!!»
    • и ссылка на порно с админами — виновниками взлома :)
  • Как я вовремя вчера вечером переехал на миранду и поменял все пароли-то…
  • за что боролись, на то и напоролись =)
    теперь я с крысой ^__^
  • Дефейс-то был так себе…
  • Интересно, на каком языке/фреймворке был написан qip.ru?
    • QIP 2005 написан на дельфях
      • Ну это мне известно, я имел ввиду сам сайт
    • судя по всем на PHP.
  • Ура!
  • Спасибо, приятно, что есть люди, которым не все равно.
  • НЛО прилетело и опубликовало эту надпись здесь.
    • только если это был QIP Infium
  • я вообще не очень понимаю, причем тут база паролей и квип? может ошибаюсь, но это все по идее должно хранить АОЛ
    • в инфинуме есть инетерсная опция, включенная по дефолту — «хранить пароль на сервере» (название точно не знаю)
    • читайте тут уже не раз на это отвечали.
  • Надоели новости про кип :) Этот шит не заслуживает стока внимания)
  • раскрыть комментарий
    • Глядя на скриншоты дефейса всякие мысли о том, что это сделал кто-то старше 14 лет сразу отпадают. Nuff said.
    • о_О Что-то мне это напоминает… а, точно — BHC
      «В МЕСТЕ МЫ СИЛА»
  • *ушел знакомиться с Мирандой и делать себе сборку*
  • Скажу сразу, фейк клиента там висел уже неделю.
    Советую менять клиент и пароль от icq.
    Базы qip.ru украдены.

    Как говорят, уже готовится ещё один взлом не менее популярного icq сайта.
    Будет бдительны!
    • Бди %username%, хаккеры РФ отаке!
    • Откуда инфа про фейк?
    • хоть одно доказательство предоставите? :)
  • Пользуясь моментом спешу передать привет злому =] Новость не может не радовать.
  • Сначала в новом клиенте включили сохранение пароля на сервер.
    Потом инсценировали дефейс.
    Скора шестизнаки пойдут с молотка.

    Всё идёт по плану.

    • Спонсор icq.com
    • А история же тоже сохраняется :-)
      history.qip.ru/
      Думайте сами.
      Я перехожу на альтернативный клиент!
      • НЛО прилетело и опубликовало эту надпись здесь.
  • Я всегда говорил, что qip не надежный. Но всё равно пол офиса (ж) пола, сидит на нём. Потому, что там есть «СЕРДЧЕЧКИ» в статусе…

    А ты потом пойди докажи, что в Mirande есть точно такое же.
  • никогда им не верил.
  • Вот так от они отмазались от безспросного внедрения блога и использования QIP в других целях.
    Подумайте, зачем хакерам блог? А таким шухером они с себя сбросят все подозрения в махинациях.
  • У них с сайта:

    Уважаемые пользователи!

    Мы много трудились и сделали для Вас новую версию QIP Infium 9030. Мы так увлеклись созданием идеального мессенджера, что даже решили пропустить версию 9028 и сразу Вам выдать 9030.

    Мы искренне надеемся, что Вам понравится!

    Увлекайтесь дальше, пидары
  • это был злобный план по ддосу античата :-D

    502 Bad Gateway
  • Bestpersons вспомнился.
  • Перед нами будущий пост-победитель ФППП?
  • Никто не подскажет сборку миранты идентичной квипу?
    Очень лениво собирать. Как-то пытался, но все застопорилось на подборе скина.
    • Думаецо, любая покроет потребности квипоюзера сголовой. Посмотри LikePS.
  • Блин, а я вчера на писюшник поставил этот QIP и пароль судя по всему им отправил. Надеюсь, простая смена спасет. У меня еще icq номер привязан к rambler-ящику. Вот задумываюсь, насколько это безопасно %)
  • И вы все еще храните пароли на сервисе qip?
  • На plati.ru по 200 баксов фейками торгуют :-)
  • Inf уже более месяца не является разработчиком qip. Кое-что об этом:
    www.inf.ru/2009/05/08/spasibo/
    • Там кстати интересный коммент по поводу баз паролей:

      >Вопрос №1: утекла ли база паролей пользователей QIP Infium?
      Нет, админка CMS сделана для управления новостями, страницами, пользователями (которые пишут новости, модерят странички), которые в ней созданы. Это локальная система управления сайтом, которая не выходит дальше www.qip.ru. Учетные записи джаббера и прочие сервисы никак не связаны с CMS
  • появились некоторые подробности =)

    Deltaco (02:16:49 8/05/2009)
    вбх

    Enjoy The Silence (02:16:56 8/05/2009)
    это какой??

    Deltaco (02:17:07 8/05/2009)
    вебхак

    Enjoy The Silence (02:17:21 8/05/2009)
    а админку чем взял?

    Enjoy The Silence (02:17:24 8/05/2009)
    троем?

    Deltaco (02:17:27 8/05/2009)
    нет

    Enjoy The Silence (02:17:35 8/05/2009)
    а чем?

    Deltaco (02:17:53 8/05/2009)
    вытащил пароли через скулю. скуля совсем убогая, думал сначала, что от нее никакого толку не будет. потом можно сказать случайно наткнулся на возможность вытаскивать пароли админов через нее

    * «скуля» — SQL-иньекция, вероятно «слепая» (blind)

    найдено здесь
  • show must go on!

    в том же топике на Асечке:

    Я ломал, и могу вас уверить это не конец, сегодня после 12 будет еще один деф, по сравнению с qip.ru этот будет бомбой которую запомнят все пользователи icq

    (1)

    после 12 накроют icq.com((( где именно, будет сообщено попозже....

    (2)
    • И вы поверили?
      • скоро и проверим… :)

        я и сам находил баги в icq.com, поэтому не буду отрицать, что это невозможно
  • Немного оффтоп: сменил пароль на вход в инфинум. При новом входе машинально набрал старый… начал проверять: мой инфинум пускает меня через старый и через новый пароль=( Я пошёл в миранду.
    • Как бы это ни было драматично, все же это паранойя.
    • Извиняюсь, неправильно прочитал комментарий — показалось, что не пускает ни через один. Но сейчас проверил — ничего подобного у меня не наблюдается. Так что скорее всего вы где-то были невнимательны.
    • Сменил пароль в хабре — фигак также :)
  • Если верить словам INF'а, база паролей не слита:
    >Вопрос №1: утекла ли база паролей пользователей QIP Infium?
    Нет, админка CMS сделана для управления новостями, страницами, пользователями (которые пишут новости, модерят странички), которые в ней созданы. Это локальная система управления сайтом, которая не выходит дальше www.qip.ru. Учетные записи джаббера и прочие сервисы никак не связаны с CMS www.qip.ru.
    • Похоже на правду, поскольку аутентификация для всех веб-проектов qip.ru происходит через домен start.qip.ru. Впрочем, у злоумышленников как минимум была возможность на некоторое время подменить form action и перехватывать пароли входящих с главной страницы qip.ru.
      • инфиум же как-то имеет доступ к БД?
        • В целях передачи данных механизмам аутентификации? :) Какой-то очень-очень ограниченный доступ.
  • мне квип не жалко, жалко что он может утащить в могилу джаббер, итак народ лениво на него переползает
  • У меня 6тизнак, я специально не меняю пароль. Жду. Проверю на своей шкуре: слили или не слили пароли?
    • Ждать ты будешь долго…
  • А не может это быть все по заказу AOL? =)
  • Упячка действует… =)
  • ну вот. теперь с моего @qip.ru адреса валит спам. поменял пароль, посмотрим поможет ли.
  • Ребят а подскажите пожалуйста могу ли я историю icq которая хранится в qip infium портировать на в миранду?

    если да то как

    не знаком с мирандой скажу сразу, буду знакомиться.
    сейчас важно переместить историю

    спасибо
    • miranda-planet.com/2007/11/07/import-qip-history-0.1.0.3.html
      нашёл только это
      правда я так понял это просто для qip да и староват плагин
      для инфиума надо ещё поискать
      Если найдёшь поделись ссылкой
      • надо тестить там в изменениях:

        0.1.0.3 (by Tellur):
        + Support of *.QHF files used by \«QIP for Symbian\» (and may be \«QIP Infinity\» — not testet);

        и еще нужен mbot — пойму кто он и возможно затестирую тогда

        Пока вопрос в общем актуальный — неужели никто не переходил c qip infium?

Только авторизованные пользователи могут оставлять комментарии. Авторизуйтесь, пожалуйста.