Ограбление по-дилетантски-2 или о том, как Mail.ru хранит пароли

Добрый вечер Хабр! Сегодня пятница, и я снова в эфире!

Этот топик не будет отличаться оригинальностью, и в нем я снова буду сыпать соль на раны клиентам бесплатных почтовых служб. В комментариях к моему предыдущему топику «Ограбление по-дилетантски или о том, как Яндекс хранит пароли» bar_boss указал, что Mail.ru так же не отличается заботой о защите пользовательских учетных данных. Я решил проверить, и вот результат — та же самая уязвимость во всей красе. Пользователи Майл.ру, привет! Говорить о неповоротливости службы поддержки Майла, в отличие от аналогичной службы у Яндекса, можно часами. Делаем ставки, как долго указаная уязвимость не будет закрыта…

UPD Сапорт Mail.ru все-таки читает Хабр, спустя сутки, уязвимость кажется уже справлена.
UPD2 А RNZ предположительно нашел другой случай передачи паролей открытым текстом.

Все просто как в детской считалке:
1.

5. Заглядываем в исходный код страницы, все как на ладони!

Они и не подумали прикрыть незащищенную задницу пользователя хотябы https, как и в случае с Яндексом. Последний тем временем все у себя уже исправил.
Пользователи бесплатных почтовых ящиков все еще надеятся, что их данные надежно защищены? Еще как!

+58

29 января 2010, 16:26

Jeditobe 138,6

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.

комментарии (93)

–66

danilissimus 29 января 2010, 16:33 #

писец.
на хабре что, одни идиоты?
а как по вашему должен зранить пароли СБОРЩИК почты? если они будут в закрытом виде — то он и залогиниться на сервер не сможет.

+29

coceg 29 января 2010, 16:37 # ↑

Понятно, что хранить придется в открытом, проблема в том, что он их показывает

camelos 29 января 2010, 16:39 # ↑

Поддерживаю.

Ничего не мешает отсылать пользователю просто мусор в пароле (а лучше вообще пустой). При отправки формы шифровать пароль и передовать. Хотя бы так.

–1

Ar2r 29 января 2010, 18:20 # ↑

Вы что. Для этого мозг нужен. Тем более майл.ру сделан так, что бы мозг не нужен был при чтении и отправки почты :-)

dabagg 29 января 2010, 18:50 # ↑

Ну так ведь в расчёте на аудиторию.

Alaunquirie 29 января 2010, 21:12 # ↑

Мэйл ру сделан так, что мосск вообще не нужен :) Ни в каком случае :)

Zyava 30 января 2010, 18:03 # ↑

Возникает резонный вопрос, а ну же ли сам мейл.ру?

Jeditobe 29 января 2010, 16:40 # ↑

Сборщик отдавать никому в открытом виде обратно не должен. Уже обсуждалось в предыдущем топике.

+12

Never 29 января 2010, 16:41 # ↑

Но зачем сразу в форме выдавать вбитый реальный пароль?
Выводили бы «mypassword» и проверяли, если не изменили поле и оно все еще с тем же значением — значит смены пароля не было.

Это действительно показатель «легкого» отношения к безопасности клиентов.

Jeditobe 29 января 2010, 16:44 # ↑

Это виртуальная девушка. Вы так наивны.

Jeditobe 29 января 2010, 16:48 # ↑

Извините, не так Вас понял =)

yoihj 29 января 2010, 18:33 # ↑

Сборщик должен хранить пароли в ЗАКРЫТОМ виде, но используя двустороннее шифрование (то есть с возможностью расшифровки), это конечно не панацея, но добавит проблем взломщику. А в форме смены пароля должно быть вообще что-нибудь типа VALUE="##do-not-change-saved-password##" (но уж никак не пароль!). Ну и https конечно нужен.

fltz 30 января 2010, 00:40 # ↑

А если у моего ящика пароль '##do-not-change-saved-password##' ⊙﹏⊙
Я не очень в веб-программировании, но как на счет присылать пустое VALUE, а звездочки пока поле пустое эмулировать (так же, как выводится «Поиск по сайту» в поле ввода тут на хабре, в самом верху).

AHTOLLlKA 30 января 2010, 01:51 # ↑

да… на хабре много идиотов… обычно их коменты не видны…

–12

zepps 29 января 2010, 16:40 #

Как вы сможете использовать данную уязвимость для атаки какого-то конкретного почтового ящика?

Jeditobe 29 января 2010, 16:43 # ↑

Зная, что мы сидим с жертвой на одном и том же спутнике — просеять эфир.
Проснифит трафик со свитча.
Да как угодно. Подойти к кпомпу, когда жертва залогинилась в почту и отвлеклась, и посмотреть — повреждения не требуется.

Jeditobe 29 января 2010, 16:46 # ↑

«Подтверждения ввода мастер пароля», я хотел сказать.

–9

zepps 29 января 2010, 16:46 # ↑

Да, но точно так же вы можете отснифать пароль, который передает жертва POST-запросом при логине на mail.ru.

Jeditobe 29 января 2010, 16:50 # ↑

Способов миллион, как узнать пароль от «мастер»-ящика.

ivlis 29 января 2010, 18:51 # ↑

про ssl слышали что-то?

–10

zepps 29 января 2010, 16:51 # ↑

И все-же я спрашивал, как перехватить какой-либо конкретный пароль.

Взять, например, мой ящик — zepps@list.ru. Если в личку вышлете мне мой пароль, тогда все будет понятно.

Jeditobe 29 января 2010, 16:54 # ↑

Этот топик не про сам взлом почтовых ящиков на мейл.ру, а про его последствия. И да, я не хакер.

zepps 29 января 2010, 17:16 # ↑

Я так полагаю, что этот коммент минусуют те, кто любит рассуждать о том, как элементарно хакаются ящики на mail.ru и то что это может сделать даже пенсионерка. Но как только им предлагается попробовать самим это сделать, то это предложение задевает за живое.

+11

Toseter 29 января 2010, 17:25 # ↑

Вопрос не в том на сколько сложно или просто вскрыть ящик на мейл.ру, вся соль в том что если такое случиться жертва лишится всех аккаунтов с которых собирается почта с помощью этого самого мейл.ру.

–8

Lector 29 января 2010, 18:12 # ↑

в упор не могу понять — что такого в хранении пароля на странице, на которую можно попасть уже зная пароль?
только не надо рассказывать про инет-кафе, где можно узнать пароль зазевавшегося посетителя, отошедшего покурить и
не закрывшего окно почты. это из другой оперы.
паранойя у некоторых товарищей иногда просто зашкаливает.

Toseter 29 января 2010, 18:18 # ↑

Ок вот объяснение на пальцах.
Есть аккаунт А@mail.ru, B@yandex.ru, C@rambler.ru и тд.
Аккаунт A@mail.ru является главным и собирает почту c аккаунтов B@yandex.ru и C@rambler.ru.

Человек получает доступ к аккаунту A@mail.ru и с помощью данной недоработки получает доступ к B@yandex.ru и C@rambler.ru, потому что сервер mail.ru вернул их пароли в открытом виде в форму.

twangel 29 января 2010, 18:34 # ↑

Если человек получил доступ к аккаунту A@mail.ru, то остальные пароли ему уже не нужны, ибо вся интересующая его почта и так уже на A@mail.ru собрана. :)

Toseter 29 января 2010, 18:48 # ↑

логично :)

Но все же согласитесь, что вред от того когда пароль отдается в открытом виде больше, чем от просто собранных писем.

Можно сейчас кучу ситуаций придумать, но зачем?

twangel 29 января 2010, 19:32 # ↑

Ну я и не спорю, что открытые пароли — нехорошо :)

Sauron 29 января 2010, 21:45 # ↑

Одно дело читать письма, и совсем другое — на них отписывать (-;

crizis 30 января 2010, 01:09 # ↑

> ибо вся интересующая его почта и так уже на A@mail.ru собрана

А если человека интересует не пришедшая уже сейчас почта, а та, что придёт позже? Например, пользуясь приведёнными адресами предположим, что на B@yandex.ru зарегистрированы домены/хостинги и можно запросить восстановление пароля для доступа в административные интерфейсы, а на C@rambler.ru — чисто гипотетически, аккаунт paypal с авторизованной кредиткой. На получение всех этих данных потребуется накое-то время, так что владелец адресов, обнаружив взлом A@mail.ru, вполне может успеть поменять пароли к ящикам, чтобы сборщик от mail.ru ничего не получил. Если же злоумышленник может посмотреть пароли к другим ящикам, то велика вероятность, что истинный владелец ничего поменять уже не успеет.

twangel 30 января 2010, 12:58 # ↑

Согласен, сразу не подумал.

–2

AHTOLLlKA 30 января 2010, 01:45 # ↑

вот тебя несет то, ты сам вчитайся в свои посты, ты чего-то не понимаешь видемо в этой жизни…
речь не о том как легко хекаеца ящик или не хекаеца на мейл.ру
а данная уязвимость поможет нам если мы уже имеем доступ к ящику на котором настроен сборщик =\
вооообщем вы не в теме…

НЛО прилетело и опубликовало эту надпись здесь

TheRipper 29 января 2010, 18:01 # ↑

Нельзя на js через DOM залезть во фрейм с другого домена.

david_mz 29 января 2010, 18:05 # ↑

Да не только же в сниффинге дело. А ещё в том, что при угоне одного ящика взломщик может запросто получить реквизиты нескольких других.

tpolm 29 января 2010, 20:04 # ↑

Если вы сидите с жертвой рядом, на одном спутнике или можете получить доступ к свитчу, можно просто поснифать POP3-трафик и узнать пароли от любой почтовой системы. А еще можно трояна на машину поставить и узнать ваще все :)). Во всех остальных случаях описанная вами «уязвимость» бесполезна.

Вывод: безопасность она не уменьшает.

alexleo 29 января 2010, 20:49 # ↑

Не совсем так. Если у человека настроен собиратель почты, то пароли от других ящиков по pop3 с его машины никуда не передаются как бы.

Если чел ходит в почту через web, то в момент логина mail.ru переключается на https, так что пароль их ящика вы прослушкой не утянете, а вот остальные пароли- запросто. А если человек ходит через проксик, то они еще и на диске окажутся.

Ну а ситуацию с угоном пароля от ящика на mail.ru уже разбирали.

Так что безопасность уменьшается и еще как.

Jeditobe 29 января 2010, 22:44 # ↑

Хотелось бы ссылочку на «разбор угона».

noma4i 29 января 2010, 22:22 # ↑

о да! Помню времена своей «рыбалки» на тарелке. Помимо мега потока порева, еще можно было страницы получать, причем нередко с закрытых частей сайтов и с паролями :)

standov 29 января 2010, 16:45 # ↑

трояном пошарить в кеше браузера, снифить трафик… да в конце концов пользователь может сам сохранить себе страницу а она потом попадет не в те руки

dyakov 29 января 2010, 23:19 # ↑

Во фрейме на любом сайте сделать ссылку на эту страницу, если юзер залогинен, то из родительского фрейма яваскриптом читаем пароль

jazzman 29 января 2010, 17:49 #

интересно, мне одному мозолит глаза написание «майл»?

Jeditobe 29 января 2010, 18:07 # ↑

Соглашусь и исправлю.

Kastrulya 29 января 2010, 17:52 #

мэйлру вообще мало о чем заботится. эталон кривизны просто. лагает все, что может…

serafims 30 января 2010, 14:26 # ↑

Странно, я противоположного мнения.). Их версия интерфейса edu.mail.ru позволяет выполняет те задачи, которые я на нее возлагаю, и система их выполняет…

malinov 29 января 2010, 18:06 #

Проблемы нет. Покажите мне хоть одного у кого таким образом украли пароль от почты…

–3

SerJook 29 января 2010, 18:07 #

Кто следующий на очереди? Rambler? Или где еще держат почту хомячки, не осилившие Gmail?

smmurf 29 января 2010, 18:29 # ↑

Как самодовольно — «хомячки не осилившие». Мне вот не нравится гмейл. Ящик есть просто по историческим причинам…

–7

smmurf 29 января 2010, 18:57 # ↑

Гуглофилы такие гуглофилы :-)

d1v3r 29 января 2010, 18:33 # ↑

Да, давайте посмотрим как с этим у Рамблера?

И узнаем кто реализовывал там сборщик почты.

ZVaness 29 января 2010, 19:10 # ↑

И ещё одну «сенсационную» статью? :(

Jeditobe 29 января 2010, 19:29 # ↑

Если так, то я просто проведу анализ почтовых серверов рунета и сделаю краткое резюме по теме.

Finderom 29 января 2010, 18:11 #

Не понимаю в чем проблема.

Если трафик слушается, то пароль отснифят еще когда он на сервер идет.
Если браузер или ОС заражен, то его стырят в момент ввода.

Если ни то и ни другое, то что плохого в том, что сервер вернул пароль обратно?
Где он может засветится.
Сервер отдал пароль пользователю который его и так знает.
Заглядывание из-за плеча не в счет, так можно что угодно взломать.

Работа без https это в 100 раз большая дыра чем, то что сервер возвращает пароль обратно.

Finderom 29 января 2010, 18:14 # ↑

Сорри, протупил.

shuvalov 29 января 2010, 18:35 # ↑

>то что плохого в том, что сервер вернул пароль обратно?
Он вернул другой пароль.

Idris 29 января 2010, 18:15 #

Бесплатное оно и в Африке бесплатное!

rayevg 29 января 2010, 18:27 # ↑

Создатели GMail думают иначе.

–4

Idris 29 января 2010, 23:29 # ↑

Хорошо там, где нас нет?

rayevg 30 января 2010, 10:57 # ↑

Ну я там есть :)

Mobby 29 января 2010, 18:21 #

Извините, у меня ещё осталось 50 приглашений на Gmail, может поделиться с вами?

Blackside 29 января 2010, 18:24 #

Gmail умнее )

–5

vlad1k 29 января 2010, 18:30 #

Снифферы, троян шарит в кэше… Как все сложно.

Злоумышленнику достаточно встроить на свою страницу скрытый iframe с адресом win.mail.ru/cgi-bin/rpop, с помощью js нажать на кнопку «изменить», и с помощью него же вытащить из поля значение пароля.

smmurf 29 января 2010, 18:35 # ↑

В ифрейме с другого домена JS-ом особо не разгуляешься.

vlad1k 29 января 2010, 18:43 # ↑

Не знаю поменялось ли что-то принципиально в безопасности браузеров в этом плане, но во времена моей бурной интернетной молодости мне этого хватало, чтобы посетители сайта про меня и моего хомячка голосовали за него в распостраненых в то время любительских site-award'ах, сами не подозревая о том.

akirsanov 29 января 2010, 19:26 # ↑

изменилось принципиально — появились кросс-доменные политики.

vlad1k 29 января 2010, 19:35 # ↑

Значит заслуженно заминусовали — глупость сказал. Простите дурака.

crazyASD 29 января 2010, 18:33 #

В позапрошлом-прошлом году ставил с mail.ru эксперимент, сутью которого было выяснить, откуда там берутся такие неразгребаемые горы спама.
Подопытный ящик имел название вроде zakaz-archilib@mail.ru.
Информация о ящике нигде не публиковалась.
Ящик не вскрывался пол года.
Через пол года в ящике было порядка 450 спам-сообщений…

PS.Вы всё еще пользуетесь mail.ru?

crazyASD 29 января 2010, 18:45 # ↑

Ну собственно говоря, так и предполагалось. Просто было интересно проверить.

ZVaness 29 января 2010, 19:12 # ↑

Не Вы один это проверили. Но кстати стоит зайти в ящик через неделю — там уже спама хватает. Причём спама изощрённого, который спам-фильтры (почему-то до сих пор) не ловят.

XPyCT 29 января 2010, 19:05 #

mail уже не удивляет данными дырами

noma4i 29 января 2010, 22:23 # ↑

я был в офисе мейл.ру. Я мог остановить это безумие, но небыло взрывчатки…

Jeditobe 30 января 2010, 15:41 # ↑

А между тем Mail.ru собирается приобрести ICQ

deniamnet 29 января 2010, 19:39 #

пароль — SerezhenkaZverev? :D
это уже клиника, ребята ))

hulinada 29 января 2010, 19:56 #

>Пользователи Майл.ру, привет!
Привет! :D

YES 29 января 2010, 20:05 #

Параша ваш Мэил.ру, не первое тому подтверждение

DEHiCKA 29 января 2010, 20:48 #

Был у меня корпоративный почтовый акк для переписки с узким кругом коллег.
Спама на нем за 3 года было от силы пару писем в день.
Неделю назад послал мыло коллеге у которого акк на мейлру.
Буквально через пару дней после этого корпоративный акк накрыло волной спама.

Ten 29 января 2010, 20:54 #

Я еще у mail.ru нет IMAP…

AndrewTishkin 30 января 2010, 03:32 # ↑

Но был… (
corp.mail.ru/press.html?action=show&id=244&mode=2

Ten 30 января 2010, 08:13 # ↑

И правда ведь был… а куда делся-то?..

Zyava 30 января 2010, 18:15 # ↑

Наверное, оказался очень сложным протоколом для их девов…

Vizakenjack 29 января 2010, 21:25 #

да у маила много недостатков. Однако мой первый ящик появился именно там, и теперь использую его для регистрации на различных форумах, где не жалко засветить адрес

А еще у них есть очень малоизвестная версия сайта без рекламы

Vizakenjack 29 января 2010, 21:26 # ↑

а еще есть pro.mail.ru оО

woodoo 30 января 2010, 12:40 #

а на mail.ua с этим всё в порядке:

Zyava 30 января 2010, 18:16 # ↑

Хмм, и? И еще у тысяч бесплатных почтовых серверов все в порядке…

Ram0n 30 января 2010, 21:24 #

Я тоже использую мэйл.ру в основном для регистрации на форумах или любых других сайтах. Для личной почты использую gmail. =)

RNZ 31 января 2010, 18:24 #

Поправлено? Главная страница:

form name=«Auth» method=«post» action="http://win.mail.ru/cgi-bin/auth" style=«overflow: hidden;»
…
input type=«submit» value=«Войти» tabindex=«6» class=«submit»

/form

Разве submit не в открытом виде пойдёт?

У яндекса вроде на этот счёт ровно:

form action=«passport.yandex.ru/passport?mode=auth...;retpath=http://mail.yandex.ru» method=post onsubmit=«return (window.navigator.yHTTPSsupport? secureForm(this): true);»

А вот у хабра как? Может кто пояснит, пасс разве не в открытом виде летит:

form action="/ajax/auth/" method=«post» class=«register register_form tm-form ajax» name=«login»

Jeditobe 1 февраля 2010, 10:16 # ↑

В моем топике речь шла несколько о другом, и тот недостаток кажется уже исправленным. Что не уменьшает значимости косяка, найденого Вами.