Rambler bug

Информационная безопасность*
При регистрации новой почты или при клике по ссылке восстановления пароля, обратите внимание на правый верхний угол — похоже что случайным образом перехватываешь чью-то сессию, причем при рефреше страницы сессия меняется. Минимум можно собрать актуальную спам базу.

пруфлинк

UPD: есть способ для захвата случайной почты (привязанного номера icq и т.д.), по понятным причинам здесь не публикую, администрация рамблера поставлена в известность.

UPD2: 22:30 GMT +3 bug fixed
+71
28 июня 2009, 18:49
3
exitusletaris 62,8

комментарии (134)

0
posthuman #
Здравствуйте, Ira Sh
ecla[вырезано]pils@rambler.ru

И у вас этот user?
+2
exitusletaris #
Каждый раз рандоино.
+3
posthuman #
Да уже заметил.
Спамеры могут собрать кучу адрессов написав крохотный скрипт.
+3
exitusletaris #
Тут уже дело не в спамерах, а в том что можно взломать практически любой рандомный аккаунт.
0
Popik #
Именно то, что аккаунт случайный, делает угрозу весьма незначительной.
–12
ShamanWild #
А Вам было бы приятно, если бы Ваш аккаунт там выпал?
+7
habracut #
>А Вам было бы приятно...

Кстати, Вам бы было приятно узнать, что хабраюзер ShamanWild является тем самым,
кто барыжил аккаунтами на хабр не так давно?

информация предоставлена небезызвестным человеком-гуглом cypa.

+4
sadsanta #
И тем самым, кто собрал через этот баг 5000 мыл и поделился своим достижением на том же античате.
0
yaidiot #
А вам с сурой какая печаль?
НЛО прилетело и опубликовало эту надпись здесь
–1
exitusletaris #
Массовый захват ящиков ни к чему хорошему не приведет. Помимо утечки данных существует большая вероятность того, что будет проспамлена вся адресная книга вредоносной программой, ложные сообщения о займе денег и т.д.
0
DIDJER #
Собрали базу из логинов которые используются часто в качестве пароля, размером в 10 мб чистого текста. А ещё по мимо этой баги, можно было проникнуть в любую почту которая рандомно выпала из этой баги, но как сказано выше — всё прикрыли.
+2
habracut #
Нет. Попробуйте обновить страницу.
+2
jeje #
Ох ребята и учудили :)
+5
gigimon #
Если почитаете некотоыре форумы, уже выложили алгоритм и скрипты (:
НЛО прилетело и опубликовало эту надпись здесь
0
gigimon #
ну, тут вы просто выкачиваете страницу… а там все серьезнее
НЛО прилетело и опубликовало эту надпись здесь
+1
raspezdal #
раз уж виндовый wget, то для этого и виндовый grep можно использовать…
0
gigimon #
Ну вон ниже подтвержают, уже через этот баг в ящики заходят и аськи угоняют
+6
quazar #
soblaznitelnaja-gracioznaja
я в шоке от того, что иногда выходит
+3
posthuman #
хорошо хоть не admin@rambler.ru
+1
commartin #
мне выпало gracioznaja-skazochnaj

Что-то подозрительно похожие адреса выпадают
+1
Sincous #
На удивление уже около 50 icq номеров отобрал и написал «Добрый вечер», ответа — нет О_о
Неужели это honeypot?
+1
Sincous #
UPD: Всё таки достучался до 2 людей, у одного увели icq.
0
ernt #
администрация рамблера поставлена в известность
Насколько давно? Возможно, следовало просто немного подождать, а не возбуждать юных хацкеров? :)
–3
exitusletaris #
юные хакеры и так уже достаточно возбуждены:
habrahabr.ru/blogs/infosecurity/63095/#comment_1748037

+1
DileSoft #
Ну, строго говоря, Хабр преумножает их количество на порядки. :)
+5
DileSoft #
Я даже не представляю алгоритм, который мог породить подобный баг.
НЛО прилетело и опубликовало эту надпись здесь
+3
DileSoft #
где пример?
+2
JustLuckyGuy #
Думаю, как обычно — съел злой хабрапарсер.
+4
MrTiM #
… а заодно и хабракомментатора, судя по тому, что алгоритм так и не был выложен.
+5
xqz_me #
написано же, пример на пыхе :)
НЛО прилетело и опубликовало эту надпись здесь
0
gigimon #
я вот тоже не могу придумать ситуацию, когда бы при вспоминании пароля, надо было б выводить такое
0
andreiko #
ну наверное в запросе проверки сессии забыли WHERE :)
+1
DileSoft #
Тогда получается там демонстрируют последних зарегистрировавшихся. Что странно — вряд ли там происходит регистрация каждую секунду.
НЛО прилетело и опубликовало эту надпись здесь
0
DileSoft #
А, ну это может быть.
+1
merlin_rterm #
вот и отправили бы ему письмо типа «выйди из рамблера, а то я уже трижды имел шанс у тебя почту спереть»
НЛО прилетело и опубликовало эту надпись здесь
+3
razetdinov #
Есть подозрение, что страница кешируется вместе с uid’ом.
НЛО прилетело и опубликовало эту надпись здесь
0
hobbit19 #
пипец )
–1
neuotq #
ППЦ!
А upd можно было не писать, кто в теме и сам поймет, а так теперь другие начнут искать.
+1
merlin_rterm #
А какой из этого следует вывод для юзеров рамблера? Им «не заходить в веб-интерфейс, пока не пофиксят» (чтобы не было их сессии активной)?
0
mgn #
Я еще на всякий случай скопировал все письма на гмэйл и удалил с ящика рамблера. Как пофиксят так вернусь :)
+1
merlin_rterm #
Да я не о себе беспокоюсь, у меня отродясь там ящика не было :)
Есть люди, которым я желаю всяческого добра и счастья, о них вот…
0
mgn #
Спасибо :) А у меня есть и сейчас паника :(
+1
MrTiM #
А зачем вам Рамблер?
+1
mgn #
Ну так исторически сложилось, что первый ящик был на рамблере. А теперь к нему привязано очень много регистраций на разных сайтах/сервисах/системах.
+5
Zhilinsky #
Бежать с таких сервисов и юзеров уводить, это очевидно.
НЛО прилетело и опубликовало эту надпись здесь
+3
polyakstar #
Там еще и поле заполняется помимо того что в правом верхнем углу:
1010101.ru/spam/2009-06-28-20-3536.png
–2
grokinn #
давайте лучше поможем пользователям рамблера — пусть каждый заходящий на эту страницу нажмет «выйти» под адресом того случайного человека, тогда его сессия закроется и может быть он не попадет в базу спамеров.
+3
HeadWithoutBrains #
Порефрешил, и тут мне вывело:
Ваш новый номер ICQ: 553566964

Вот спасибо =)

Блин, это что долбят программеры рамблера, что бы такое делать?
0
pietrovich #
а не курят ли то же самое разработчики Бигмира?
я уже устал получать письма со своим «новым номером ICQ». у меня их наверное уже за сотню перевалило, хотя сам я для их регистрации палец о палец не ударил.
0
Speakus #
нда… хорошо, что у меня акка на рамблере нету.
НЛО прилетело и опубликовало эту надпись здесь
0
yuretsz #
Знамо дело — выходной. А с дому зайти и починить запрещает политика безопасности компании.

Ну это, естественно, только мои догадки.
0
amima #
В крупных компаниях обычно используется VPN для этих целей
0
merlin_rterm #
Даже в некрупных используется
0
yuretsz #
Я имел ввиду «нельзя» в административном порядке.
–1
merlin_rterm #
Т.е. даже такие вот критические баги фиксить административно нельзя?

Сомневаюсь, чтобы в рамблере так было. Очень уж это совковая бюрократия, чесслово.
Скорее, программисты на дачах и на речке, не могут их дозваться :)
+2
amima #
Можно просто закрыть скрипт на это время силами админов. Должны быть дежурные админы. Лучше невозможность восстановить пароль, чем уведенный ящик. Если окажется еще что у них не ведутся логи/архивы и уведенные пароли никак не восстановить, то это будет 100% фиаско рамблера, как почты.
Я подозреваю что скорее «администрация рамблера поставлена в известность» означает что отправлено письмо в саппорт, а вот саппорты как раз по выходным не работают.
0
LMik #
Мда уж, никгда к рамблеру дверия не был, а теперь и подавно.
0
LMik #
Еле открывается уже, задосили опять :)
0
freefd #
стабильно бегает.
0
danil #
«опять я тырнет не понимаю, в рамблере пытаюсь завести ящик, а там в правом верхнем углу ко мне обращаются величая разными именами с разными ящиками, кто подскажет это вообще что за муть ?»

beatr1che.livejournal.com/17605.html

поможем? :-)
+2
bat #
id.rambler.ru/script/newuser.cgi
О как, еще не успел представиться…

К сожалению, на Рамблере уже есть пользователь @rambler.ru. Вы можете выбрать себе другое имя, или воспользоваться именами из предложенных ниже.

pizdasos4
pizdasos2009
pizdasos09
pizdasospizdasos
pizdasos-pizdasos
pizdasos.pizdasos

Если пользователь @rambler.ru — Вы, и Вы просто забыли пароль, воспользуйтесь службой восстановления паролей.

P.S.
Может это прикол такой (с трудом верится)?
0
beloks #
Удобно, при обновлении страницы по сути нам для базы предоставляю сразу два ящика справа-вверху ну и прямо перед глазами.
+6
amima #
Удивительно что такой ахтунг висит уже 3-ий час. В Москве сейчас пробки? =)
Такое должны фиксить за 10 минут, даже если в гондурасе пьют кофе. Охранникам блин позвонить и рассказать что надо сделать.
+13
dive #
млин, просто офигеть. неужели они не могут хотя бы доступ закрыть к скрипту?
левой ногой написал скрипт, посмотрим сколько успеет насчитать, пока дыру не закроют. потом отпишусь сколько насчиталось.
считать начало в 21:26.

0
amima #
Позвольте поинтересоваться, зачем Вам понадобилась эта база?
+1
dive #
мне она не нужна. просто интересно сколько насчитается на момент закрытия бага. для статистики.
я имена, кстати говоря, не пишу, только email адреса.
+3
amima #
Для статистики можно не писать и email адреса, а писать только +1
+4
dive #
согласен, не ругайтесь только.
но если потом выснится, что выводились только определенные email'ы, к примеру, из закешированных за последние 6 часов, а также выяснится, что пароли и явки тоже уплыли, то у меня будет база и я смогу разослать попавшим в список людям письмо о том, что их аккаунт попал под раздачу.

благой порыв? (:
+3
amima #
ок, верю что на хабре люди приличные
+7
bat #
видимо для отсева дубликатов
+3
dive #
кстати, адреса почты очень часто повторяются.
0
merlin_rterm #
Вот я и говорю — отправьте им письмо, что мол «ребят, палитесь». Наверняка сразу прочитают и испугаются :)
НЛО прилетело и опубликовало эту надпись здесь
+1
dive #
ну, не настолько ногой я писал (: дубликаты сразу выявляются и количество повторов дописывается после адреса почты.
0
darkk #
Нельзя — надо проверять потом на уникальность.
0
MrTiM #
Ну что, сколько?
+15
dive #
статистика такова:
начал делать запросы в 21:26, починили в 22:28, т.е. за 62 минуты данные.
запросов к серверу, на которые я получил ответ с email'ом 14332, из них уникальных email'ов 1532, т.е. почти каждый десятый.
чаще всего были получены уникальные email адреса, но есть и такой, который попался 390 раз.
вот в графике (на бар-чарте: полосочки — количество email'ов от общей массы, «повторяется раз» — сколько раз повторилось, явно видно, что большинство email'ов были уникальными):
+4
MaRio #
а бывает ещё интереснее:
0
amima #
Чем именно это интереснее?
0
MaRio #
я несколько раз обновлял страницу, и только 1 раз выпала возможность изменить пароль
–1
amima #
Понял, пардон, не туда глядел.
+3
merlin_rterm #
Насколько я понял, это уже СМЕНА ПАРОЛЯ клиента. Проще говоря, увод ящика.
+2
MaRio #
вот именно
+1
amima #
Похоже Вам уникально повезло и Вы попали на пользователя который в данный момент действительно восстанавливал пароль, и Вам досталась его сессия.
0
MaRio #
оказывается не так уж и уникально, понажимайте F5, везёт достаточно часто
не факт, что при сабмите сессия опять не сменится
0
amima #
Да уж, лучше не эксперементировать =)
+1
merlin_rterm #
А про одного юзера сейчас вот такое сказало:
<p class=«txt_error»>
Слишком много запросов на восстановления пароля
</p>

<p class=«txt»>
Нами зарегистрировано слишком много запросов к системе восстановления пароля от Вас.
Пожалуйста, сделайте перерыв на несколько часов и попытайтесь вспомнить точно ответ на вопрос.
</p>

0
merlin_rterm #
Это при том, что я никаких рефрешей постоянных не делал, раз пять-шесть страничку рамблера загружал всего. Т.е. «От вас» — точно не «с вашего ip-адреса».
0
amima #
Будет очень смешно и грустно если оно проживет до утра понедельника.
0
merlin_rterm #
По-моему, смешно перестало быть и стало грустно уже час как :(
+1
MaRio #
рамблер — это всегда грустно :(
+1
0day #
Этот баг выложили еще днем в 13:16 на Злом — forum.zloy.org/showthread.php?t=84704
Народ там уже давно развлекается уводом асек и аккаунтов от разных сервисов
0
0day #
Так что это будет еще очень хорошо, если Рамблер этот баг к завтрашнему утру соизволит прикрыть.
+5
Bug #
Я тут не причем!!!
+2
MrTiM #
OMG, какой стыд!

«Разобраться. Наказать виновных. Доложить в трехдневный срок»!
–2
Xalegi #
вот это жесть!!!

вот поэтому я не пользуюсь бесплатными почтовиками.
0
deseven #
ой да ладно… Можно подумать у платных сервисов не бывает подобных косяков.
–2
amima #
Подобных — нет.
+5
lrom #
Пофиксили
+3
xqz_me #
Всего-то 9 часов потребовалось. Жесть.
–1
Xalegi #
на рекорд идут :)
или они эстонцев набрали? :)
0
FFF #
Нда… Что-то Рамблер как-то стал часто допускать подобные ошибки. Обидно.

Пофиксили, кстати.
0
antyblin #
Вроде, пофиксили уже.
0
antyblin #
Сори, не читал комменты выше.
0
za4to #
Вроде исправили!
НЛО прилетело и опубликовало эту надпись здесь
+1
yuretsz #
Знал бы, что ты собираешь, я бы тебе и свои 5 тысяч подкинул. Я просто полюбовался результатами и прибил всё.
0
SatyrArs #
А, пофиксили? А я нажал «выйти» и расстроился, что больше не появляются.
+3
razetdinov #
www.computerra.ru/bitrix/admin/
Логин: webmaster
Пароль: 1234567
0
lostinfuture #
Да вы что, это место свято!
0
razetdinov #
Брешь безопасная, иначе бы не постил.
0
SKYnv #
а я читал частенько, до смены дизайна главной страницы, стал бред такой. Поэтому только компьюленту щас смотрю…
0
lostinfuture #
я тоже читать перестал, но вырос на этом журнале и трепетно к нему отношусь:]
0
rozboris #
Не обманывайте людей.
image
Ну или кто-то умный уже сменил пароль.
Или (самое невероятное) — пофиксили.
0
SKYnv #
пофиксили, я логинился прекрасно, потом вышел сразу так-как уважаю сие издание.
0
razetdinov #
Не обманываю, подходит любой логин/пароль из форума.
+5
dive #
статистика такова:
начал делать запросы в 21:26, починили в 22:28, т.е. за 62 минуты данные.
запросов к серверу, на которые я получил ответ с email'ом 14332, из них уникальных email'ов 1532, т.е. почти каждый десятый.
чаще всего были получены уникальные email адреса, но есть и такой, который попался 390 раз.
вот в графике (на бар-чарте: полосочки — количество email'ов от общей массы, «повторяется раз» — сколько раз повторилось, явно видно, что большинство email'ов были уникальными):
0
dive #
эм, почему то два раза пост в теме появился. извините. это не я (:
0
Sincous #
У меня из 7838 e-mailов
1293 уникальных,
причем парсил я в течение 40 минут.
Это получается, что в рамблер почте он-лайн висет ~1500 человек в час О_о
+3
dive #
отправил полученный список email'ов в Rambler. может быть пригодится им или смогут вернуть утраченные аккаунты владельцам.
так же попросил их осветить проблему или хотя бы дать комментарий по этому поводу.

на спам-ресурсах говорят, что смогли собрать почти миллион адресов. уже продаются даже.
+1
blackst0ne #
Мне интересно, получит ли по шапке программист, допустивший такой ляп?
+3
lovermann #
Кроме программиста по шапке получит целая команда людей: от тестеров по прожект-менеджеров.
0
beloks #
Главное они теперь хорошо и точно будут знать за что получили.
0
NiOS #
Почему-то это никто до сих пор не прокоментировал…

Что самое интересное глючить Рамблер стал после смерти создателя Дмитрия Крюкова

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.

Лучшее за 24 часа
Toster Заземление. Что это такое и как его сделать
Находим admin + shell на *******.alfabank.ru с помощью Google
Делаем ядерную люстру на 100'000 люмен
Уже не Первый
thn.gs — для того, чтобы не помнить
Dragon SpaceX успешно достиг МКС
Отладка сложных веб-приложений — эффективная багодробилка на production-серверах
С Днём Рождения, Хабр!
Пять преимуществ прокрастинации
Intel выпустила Android 4.0 для x86
« все лучшие
Похожие посты ↓
Rambler bug 28.06.2009
Интересный crash-bug в Chromium/Chrome 28.03.2012
Найдена уязвимость в Rambler почте или в ICQ.com? 01.03.2012
Результаты конкурса CUBRID Bug Bash 11.10.2011
Spaces bug fix in Twitter.app 03.03.2011
Flash bitmap printing bug 11.02.2011
Python Bug Weekend 20.11.2010
Rambler тоже хочет ICQ 15.02.2010
Новый офис компании «Rambler» 19.12.2009
Bug: cамопроизвольная замена символов в textarea при загрузке страницы в Opera 10 02.10.2009
Прямой эфир ↓
VolChНазад в прошлое: Печать фотографий на фотоувеличителе 65
BeketovС Днём Рождения, Хабр! 100
MukФотоотчет о подключении самого мощного коммутатора в мире Black Diamond X8 43
VolChСанкт-Петербург: уже можно прикладывать телефон к турникету 183
QuesterGfranq.com 3
EmberDragon SpaceX успешно достиг МКС 60
ZuyВ какой компании самая высокая средняя зарплата младшего инженера? [Правильный ответ в первом комментарии] 61
DIHALTBump — естественный интерфейс простыми средствами 49
ZawullonБанк Санкт-Петербург выпустил интернет-банк для Android 3
MaratyszczaУстановка и Настройка Intel® Atom x86 Image for Android SDK 5
Компания дня
Тематические Медиа
Тематические Медиа

Последний пост: Внезапный майский апдейт

1290 подписчиков
Q&A ↓
BupycNet+1 к защите пароля методом тройного хеширования. Бред? 3
SarganSaorПодскажите про Asterisk GUI + Asterisk 4
lagranzhКак пережить смену ключевого представителя заказчика? 6
nitro80Система типа Dropbox в локальной сети 10
BupycNetВыбираю планшет: несколько вопросов по iOS и iPad 5
nitro80VPN-сервер на Windows 2008 Server 4
nitro80Есть ли будущее у проекта? 17
nitro80Блок и сектор - это одно и то же, или разные вещи? 4
DeusModusКроссплатформенный ajax-file-uploader? 2
dkurilenkojdbc - два запроса в одном соединении 7
« все вопросы
О, работа! ↓
Flash Developer - social games startup
Генеральный директор интернет-магазина
Программист, ERP-системы
Бизнес аналитик ERP
Руководитель проекта
Программист (разработчик) С/С++
Senior PHP developer
Порт игры с iOS на Android
SEO-оптимизатор
Программист ЦФТ-Ритейл
Прикладной программист UNIX
Front-end разработчик
JavaScript программист, front-end JS/CSS/HTML (оплата авиаперелета и жилья в СПб)
PHP разработчик (оплата авиаперелета и жилья в СПб)
Senior C++ Developer
Редактор журнала "Хакер"
Интернет-активный дизайнер
Разработчик C# и C++ (Windows)
Web-дизайнер
Тестировщик веб проектов
« все вакансии
Ближайшие события
29
май
42 Conference & Startup-Exhibition
29
май
Суперкомпьютерные технологии в науке, образовании и промышленности
30
май
Международный форум по практической безопасности Positive Hack Days 2012
30
май
Positive Hack Days в Санкт-Петербурге
30
май
Бесплатный базовый курс по TPL-шаблонизатору
« все события