Пользователь
0,0
рейтинг
7 августа 2013 в 09:04

Разработка → Ищите ошибки с помощью Google или «взлом» аккаунтов на badoo.com

Хочу рассказать, как компания Badoo охраняет аккаунты своих клиентов. Данная статья написана исключительно в образовательных целях. Я не подталкиваю никого к совершению противоправных действий и не преследую никакого злого умысла.

image

Не все Bug Bounty programs одинаково полезны


В марте 2013 года компания Badoo объявила конкурс «Проверь Badoo на прочность!».
Конкурс манил призами и я, довольная успехом в поиске уязвимостей для Yandex, зарегистрировалась на сайте, посмотрела, какие ссылки приходят в письмах, и просто вбила их в поисковую строку Google.

Вначале я обнаружила ссылки, по которым можно без подтверждения зарегистрироваться под чужим email адресом, в ответ получила письмо
«Спасибо, но это не уязвимость. Пожалуйста, продолжайте проверять нас на прочность.»

Запросы Google Dorks, поиск ошибок


Для поиска ссылок можно воспользоваться Google Dorks, на сайте собраны и рассортированы все возможные варианты запросов.
Потом обнаружила еще несколько «мелочей», ответ был таким же.
Последней моей находкой стало множество ссылок, по которым можно авторизоваться на сайте badoo.com, получить полный доступ к аккаунту пользователя, при этом, не обладая никакими хакерскими навыками. На выбор есть аккаунты пользователей из разных стран, достаточно просто перейти по ссылке, и вы авторизованы. К тому же по ссылкам можно переходить более одного раза.

Вбиваем в Google, например, site:https://eu1.badoo.com/access.phtml
image

Переходим по ссылкам и попадаем в профили пользователей:
image

Переписка с Badoo


В данном случае ответ я получила только на третье письмо:
«Это не уязвимость, это ошибка и мы ее обязательно пофиксим.
Вы нам прислали несколько заявок касающихся проиндексированных гуглом страниц, на все эти заявки вам ответили что это не уязвимость.
Дело в том, что для легальных юзеров такие ссылки не приносят вреда — если имейл уже есть в системе, то нового пользователя уже не получится зарегистрировать с таким же имейлом.
Что касается ссылок на смену пароля, то они все недействительны — при переходе на них мы говорим что «ссылка прекратила действие».
Так что лишнее мы из выдачи гугла уберем, но не сразу — индексация не делается в момент.
Если вы все-таки нашли ссылки, которые действуют и позволяют навредить пользователям — пожалуйста пришлите подробную инструкцию как этим можно навредить другим пользователям, тогда мы засчитаем это уязвимостью.»

Попыталась объяснить, в чем опасность того, что можно авторизоваться под чужим аккаунтом, и спросила можно ли написать статью на Хабрахабр, вот что получила в ответ:
«Мы еще раз очень внимательно посмотрели на вашу заявку и решили, что данная проблема не является уязвимостью Badoo.

Когда пользователь регистрируется на нашем сайте, то сам указывает свой емейл. В некоторых случаях пользователи указывают емейл, который, например, автоматически открыто публикует все полученные сообщения. Либо пользователи сами каким-то иным способом открыто публикуют полученные от Badoo письма включая авторизационные ссылки. Затем, опубликованные ссылки находит Google и включает их в свою выдачу. Если вы зайдете на сайты, подобные birgo.mynet.com или twitmail.com, то найдете большое количество сообщений от нас, которые пользователи сами сделали публично доступными, сознательно или по ошибке:
birgo.mynet.com/badoo/archive/2011/2
twitmail.com/email/146079226/29/3-people-on-Badoo-are-waiting-to-chat-with-you-

Мы не контролируем такие действия пользователей и не можем их остановить. Однако, несколько недель назад мы предприняли меры по автоматической инвалидации авторизационных ссылок, найденных популярными поисковыми системами. Именно поэтому из огромного числа ссылок в выдаче Google только очень небольшое количество остается активными. Они были проиндексированы Гуглом до принятия нами мер. По мере переиндексации все такие ссылки будут деактивированы.
Данное решение жюри по вашей заявке является окончательным. »

Забота о клиентах


Прошло больше четырех месяцев со времени моей переписки с Badoo, в Google все еще можно обнаружить авторизационные ссылки, которые не являются одноразовыми.

Еще один интересный запрос: inurl:register.phtml site:badoo.com
Данный запрос находит ссылки вида:
eu1.badoo.com/invite/register.phtml?u=243016784&i=72376&p=8&e=Anna%40yahoo.com&uin=ANY_EMAIL.COM&m=21&n=YWx1bW5pX2llZmV1aWlAeWFob29ncm91cHMuY29t&share_id=JiBZYnOGQk
Это приглашение пользователя на сайт, в данной ссылке можно в качестве параметра UIN передать любой email, ранее не зарегистрированный на сайте, при этом запроса подтверждения регистрации не потребуется. Единственное неудобство, что после перехода по ссылке из Google и замены email необходимо почистить cookie браузера.

Пример регистрации uin=Любой%20email, проверка на валидность отсутствует:
image

Я решила написать эту статью, так как компания Badoo не считает возможность авторизации под чужим аккаунтом уязвимостью.
P.S. Ищите баги с помощью Google: inurl:phtml site:badoo.com

P.P.S. После ответа Badoo в комментариях, по запросу inurl:forgot_enter site:badoo.com удалось получить доступ к активно используемому аккаунту (видео-доказательство, файл можно открыть в любом браузере).
тестировщик @AnnaZah
карма
108,5
рейтинг 0,0
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Спецпроект

Самое читаемое Разработка

Комментарии (132)

  • –67
    Скажите, а если пользователь где-нибудь напишет свой пароль в открытом виде, и этот пароль будет найден гуглом, вы тоже назовете это «уязвимостью»?
    • +50
      я считаю, что даже недальновидных пользователей нужно стараться защитить, например, ссылки в письмах могут быть одноразовыми, в Google светятся не только левые ящики, Badoo собирались убрать все ссылки из индекса Google — этого до сих пор не сделано, регистрация без подтверждения тоже интересна, по-моему это мало приятно, когда на ваш email зарегистрируют аккаунт и заполнят вам профиль противоречивой информацией.
      • 0
        регистрация без подтверждения тоже интересна, по-моему это мало приятно, когда на ваш email зарегистрируют аккаунт и заполнят вам профиль противоречивой информацией.


        а этот email можно сделать видимой всем информацией? то есть, чтобы другие пользователи и/или поисковые машины могли его видеть и находить меня по нему?

        Если да, то это действительно недоработка в плане личных данных пользователя.
        • +1
          на 100% не уверена, но в настройках профиля есть пункт «Разрешать поиск моего профиля по e-mail»
      • +1
        ссылки в письмах могут быть одноразовыми
        Не решит проблему, если сам пользователь ни разу не воспользовался этой ссылкой, а после она попала в открытый доступ. Ограничить срок действия? А какой именно срок? День, два? А если я в отпуске был, а спустя месяц почту разгребаю?
        убрать все ссылки из индекса Google
        Никто ничего не может убрать из индекса Google. Их робот сам решит убрать или нет, и если да, то когда именно это сделать. Можно лишь убрать страницы на своем сайте, на которые ведут эти ссылки, и когда-нибудь, когда Гугл решит, что они удалены достаточно давно, то может и удалит из индекса.
        регистрация без подтверждения
        А это вообще свинство какое-то

        Дыр в безопасности, судя по всему у Баду хватает, но, с другой стороны — на кой черт пользователь публикует в открытый доступ свои ссылки? Хотя, с учетом того, что средний пользователь соц. сетей технически малограмотен, в письмах со ссылками надо крупным текстом писать что нельзя передавать их третьей стороне. Многие системы предупреждают, неужто в письмах Баду нет такого? А если есть, то извините, никто не может защитить пользователя от самого себя…
        • 0
          ссылку для регистрации без подтверждения не обязательно искать в Google, можно отправить приглашение на своей второй email и затем модифицировать ссылку, но это просто более сложный путь.

          Badoo утверждали, что могут убрать ссылки из Google:
          «Они были проиндексированы Гуглом до принятия нами мер. По мере переиндексации все такие ссылки будут деактивированы.»
        • +1
          А какой именно срок? День, два? А если я в отпуске был, а спустя месяц почту разгребаю?

          Представляется, что день-два, не более. Через месяц будьте любезны получить еще одну. Более того, сервер на первый переход по просроченной ссылке может сразу высылать еще одну, ибо ситуация более-менее ясная — человек протупил с переходом по ссылке, и исходную задачу, ради которой ее запрашивал, явно не решил (раз переходит), значит можно нужно ему помочь.
          • +6
            Представляется, что день-два
            А вот и нет. Если ссылки каким-то образом уходят в публичный доступ, то почему это не может произойти за считанные минуты/часы? А Гугл индексирует многие сайты также в считанные минуты. Вуаля — через часок после отправки письма мы можем найти в Гугле нужные нам ссылки. Когда я спрашивал "А какой именно срок?", я далее пытался сказать, что нет ответа на этот вопрос. Если ссылки были в личной почте пользователя, то ответственность за их конфиденциальность лежит лично на самом пользователе, и никакие ограничения по количеству использований и срокам ничего не дадут.
        • 0
          > А если я в отпуске был, а спустя месяц почту разгребаю?

          что мешает руками авторизоваться?
    • +6
      Ссылки, скорее всего, попадали гуглу без участия пользователя. Например, Google Analytics их запросто мог сливать.
  • +22
    В данном конкретном случае, вариант использования может быть такой: Я регистрируюсь с email пользователя Х, захожу под аккаунтом пользователя Y и создаю между ними компромитирующие действия. После этого можно приступать к операции «шантаж».
    Я считаю, что найденные уязвимости ставят под угрозу личную жизнь и социальный статус пользователей, не говоря уже о возможности использования чужих аккаунтов терорристами для тайных переговоров.

    P.S. Однако остаются не понятными легкомысленные действия администрации ресурса.
    • +38
      Да что непонятного, зажали bounty заплатить. Судя по упорстру у них и mysql-injection будет ошибкой а не уязвимостью.
      • +68
        У них наверняка есть неважные таблицы, injection в них — не уязвимость.
        • –7
          sql injection'ы у них нужны для программеров, что бы можно было быстро прибить скажем таблицу в обход корпоративной бюрократии и злых Ops'ов

          ?userid=1233'%3B+delete+from+stupid_users;
      • +1
        Да у них на многие вещи весьма своеобразные взгляды.
    • +3
      P.S. Однако остаются не понятными легкомысленные действия администрации ресурса.

      Им призов жалко.
  • +105
    Какой ужас, некоторые пользователи не успевают отвечать на сообщения. Я им помог.
    • +14
      Добрый вы человек!
    • +10
      «то лапы ломит, то хвост отваливается...»
  • +36
    Видимо маркетологи с разработчиками даже и не общаются, судя по реакции вся акция придумана маркетологами и не более.
  • +4
    Мне не понятно почему они правильный robots.txt для поисковиков не составят?
    • 0
      Вот же!
      Однако, несколько недель назад мы предприняли меры по автоматической инвалидации авторизационных ссылок, найденных популярными поисковыми системами.
      • 0
        Это не совсем то. Скорее это значит, что они просто те ссылки сделали нерабочими.

        Впрочем robots.txt они теперь отдают вроде верный, если конечно ссылки на авторизацию приходят именно через https:

        eu1.badoo.com/robots.txt — HTTPS
        eu1.badoo.com/robots.txt — HTTP
    • +4
      не совсем так, даже при верном robots.txt — он носит исключительно рекомендуемый смысл. Но, если гуглу надо он это возьмет.
      http://www.comedyclub.ru/robots.txt

      Правила:

      User-agent: *
      Disallow: /

      Большое изображение
        


      Поэтому лучше использовать стандартные:
      <meta name="robots" content="noindex, nofollow" /> или X-Robots-Tag HTTP header
      • +2
        если гуглу надо он это возьмет
        На указаном скриншоте русским по белому написано: «Описание веб-страницы недоступно из-за ограничений в файле robots.txt».

        По поводу же появления этого результата в поиске официальная документация гласит:
        Хотя Google не сканирует и не индексирует содержание страниц, заблокированных в файле robots.txt, URL, обнаруженные на других страницах в Интернете, по-прежнему могут добавляться в индекс. В результате URL страницы, а также другие общедоступные сведения, например текст ссылок на сайт или заголовок из каталога Open Directory Project (www.dmoz.org), могут появиться в результатах поиска Google.


        Поэтому лучше использовать стандартные
        Чем лучше? Они делают какую-то особую магию, а не просто рекомендательные, как robots.txt? Или лучше напрячь сервер Гуглом, впустую скачивающим все страницы ради meta-robots или X-Robots-Tag, вместо того чтобы даже не соваться на них после прочтения robots.txt?
        • +3
          можете почитать: alaev.info/blog/post/3013

          продвинутые вебмастера, которые в теме особенностей индексации сайтов и поведения роботов, используют метатег robots.

          И снова небольшая выдержка из руководства от Google:

          Чтобы полностью исключить вероятность появления контента страницы в индексе Google, даже если на нее ссылаются другие сайты, используйте метатег noindex. Если робот Googlebot начнет сканировать страницу, то обнаружит метатег noindex и не станет отображать ее в индексе.

          Внушает оптимизм, не правда ли? И еще:
          Обратите внимание: чтобы увидеть тег noindex, мы должны просканировать вашу страницу, поэтому существует небольшая вероятность, что поисковый робот Googlebot не увидит метатег noindex и не отреагирует на него. Кроме того, если вы заблокировали эту страницу с помощью файла robots.txt, мы также не сможем увидеть этот тег.

          Следовательно, все страницы, которые мы хотим запретить к индексации, а так же исключить их из индекса, если они уже проиндексированы (насколько я понял, это касается и доп. индекса Гугла), необходимо на всех таких страницах поместить метатег . Что еще более важно, эти самые страницы не должны быть закрыты через robots.txt

          Короче говоря, чтобы полностью запретить индексацию ненужных страниц и появление их в поиске необходимо на всех этих страницах разместить метатег <meta name="robots" content="noindex,nofollow">.
          • 0
            Чтобы полностью исключить вероятность появления контента страницы в индексе Google, даже если на нее ссылаются другие сайты, используйте метатег noindex.
            М-да… Случаются факапы в документации :)

            На самом деле, речь идет не о «контенте страницы», а скорее о (приблизительно по смыслу) «контенте о странице», т.е. об упоминании страницы в результатах поиска. Кстати,
            если вы заблокировали эту страницу с помощью файла robots.txt, мы также не сможем увидеть этот тег.
            не кажется странным? Страницу видит, а тег в ней нет?

            Хоть и не по русски, но есть и явное официальное утверждение, что гугл не нарушает robots.txt: http://youtu.be/nM2VDkXPt0I?t=3m44s, а особенно тут: http://youtu.be/nM2VDkXPt0I?t=5m25s прямым текстом об этом и о том, что именно может показывать гугл о страницах, закрытых robots.txt
            • 0
              все верно :) но по опыту могу сказать, что если указаны правила через robots.txt (то месяцами страницы в индексе), но как только перешел дополнительно на: <meta name="robots" content="noindex,nofollow"> или X-Robots-Tag HTTP header, то буквально за несколько апдейтов вылетели «лишние» страницы.
              • 0
                если указаны правила через robots.txt (то месяцами страницы в индексе)
                Возможно, но ведь это не то же самое, что
                если гуглу надо он это возьмет

                Более того, удаление уже попавших в индекс страниц — совсем не то же самое, что предотвращение их попадания в индекс. Использование robots.txt (вместо meta) для второго снижает нагрузку на сервер. А для первого вообще рекомендуется Webmaster Tool.

                Но в целом, это всё пофиг, ибо никакие robots.txt и noindex Badoo всё равно не помогут — не их страницы ведь индексировались. Гугл ничего не знает про все эти https://eu1.badoo.com/access.phtml?UID=... кроме того, что эти ссылки существуют, ибо robots.txt. Нахождение их именно таким способом — лишь мелкая неприятность, а сокрытие — лишь заметание проблем под ковёр. По незащищенным каналам (коим и является нешифрованная почта) вообще нельзя отсылать ссылки, пропускающие без аутентификации. Если хочется облегчить пользователям жизнь, то хотя бы долгоживущие куки надо вешать — всё лучше, чем пускать всех без разбору, а уж набрать пароль раз в месяц — думаю никто не развалится.
    • +3
      А при чем тут роботс? Находятся ведь не сами страницы badoo, а репосты писем со ссылками туда. Что в robots.txt для badoo.com ни пиши, а в тексте на других сайтах все равно будет ссылка видна (сама ссылка как текст), не будет индексироваться лишь контент по этой ссылке.
      • –1
        Судя по скринам ищутся именно ссылки с badoo.
      • +1
        А при чем тут роботс?

        я тоже думаю что не при чем.
        в данной ситуации ссылки — это просто проиндексированный текст.
        кроме того, ссылки в robots.txt изначально закрыты — вот же написано на скрине русским языком)
        habrastorage.org/storage2/32f/321/94a/32f32194a7a17356b80c5942291084c2.png
  • НЛО прилетело и опубликовало эту надпись здесь
    • +1
      Да, там есть буду кредиты за которые можно повысить себе рейтинг, тоже самое можно сделать голосованием, рисуем простую схему — оплата 1/2 стоимости баду кредитов исполнителю (ну или сколько жадность позволит) он регит аккаунты без подтверждений, увеличивает рейтинг на данную сумму, все довольны — прямая монетизация бага.
  • +61
    Если бы у него был дисплей Pixel Qi как у Sunbook, то и работать было бы комфортно и подсветку можно было выключать, что уменьшило бы потребление.
    Что касается защищённых ноутов, на которых можно работать на ярком солнце, есть Getac X500 с дисплеем QuadraClear, но он очень не дёшев и без солнечных батарей. Но при прямом солнце в дисплей он всё-же заметно уступает Pixel Qi.
    • +31
      Спасибо.
    • +6
      OOOK
    • +17
      В точку, спасибо!
    • +23
      Не туда, простите сердечно
      • +6
        Комментарий и здесь хорошо прижился
    • +19
      Только подобным комментарием можно выразить без мата все пренебрежение к компании Badoo и их корпоративной политике.
  • 0
    А конкурс кто-то выйграл или он все еще проходит? И что получил победитель?
    • +42
      Победитель получит базу аккаунтов Баду с паролями.
    • +7
      Выиграл Андройд, мля
  • +6
    Мне кажется, они уже ответили на все возможные вопросы этим предложением:
    Мы не контролируем такие действия пользователей и не можем их остановить.
    • НЛО прилетело и опубликовало эту надпись здесь
  • +38
    И зачем люди делают такие конкурсы, а потом зажимают от нашедших уязвимости призы? Ну, считаете баг минорным — заведите номинацию для таких багов, подарите человеку футболку и скажите «спасибо», так нет — «идите нафиг, данное решение жюри является окончательным» — и потом вот такие статьи на Хабре.
  • +21
    Ничего себе «не уязвимость»
  • 0
    Можно в письме написать код из 4-х цифр. При переходе по авторизирующей ссылке, просить ввести это простое число. Немного сложнее, но безопаснее.
    ps: при 3-х неудачных попытках, ссылка невалидна
    • +2
      Тогда уж проще просить залогиниться… Вся эта возня с многократными авторизационными ссылками в несекьюрных письмах — для того что бы пользователю нужно было меньше телодвижений.

      Всё-таки, если такого хочется, то надо делать ссылку однократной. И тщательно оценивать риски. Т.к. злоумышленник может перехватить даже отднократную ссылку в старой ethernet или DOCSIS сети даже если атакуемый пользователь настолько умён, что бы не пользоваться говномейлами, но не настолько умён, что бы пользоваться TLS для получения почты.
  • +2
    Какие же они в badoo дубовые, оказывается. Интересно, а если кто-то сейчас возьмёт инициативу и от всех пользователей под которыми можно залогиниться начнёт рассылать спам, они поменяют своё мнение?

    Это не уязвимость, это ошибка и мы ее обязательно пофиксим.

    Забыли только уточнить в каком году они её пофиксят?
    • НЛО прилетело и опубликовало эту надпись здесь
      • –3
        Я, кстати, пользователь этого сайта, но что-то не замечал новостей по поводу этого конкурса. И поэтому я так эмоционально реагирую на подобные «не уязвимости»…

        P.S. Большая просьба не сливать карму… её и так уже нет…
        • 0
          Судя по моей слитой карме после написания комментариев выше, кто-то так же как и специалисты по безопасности badoo не считают описанную «ошибку» за «уязвимость»?

          Может выскажете своё мнение по этому поводу, измените моё восприятие мира?
          • НЛО прилетело и опубликовало эту надпись здесь
            • +2
              Мне больше нравится буддистское определение кармы. Карма — это то, что создаётся осознанным действием. Плохое действие даёт нам плохое последствие, хорошее действие — хорошее последствие.

              Так вот по этому определению моя карма на хабре говорит всем, что я поступаю плохо, причём субъективно плохо. Но никто не говорит открыто, что именно, по их субъективному мнению, плохого я сделал, не даёт мне пищу для размышлений, не даёт мне стать лучше.

              И я не боюсь стать собакой=) Я вообще не верю в то, что Земля — это единственное место, где есть разумная жизнь. В следующей жизни я бы не хотел оказаться на Земле, лучше попробовать что-нибудь новенькое и не важно на сколько сложной будет следующая жизнь.
              • 0
                Вспомнилось
                из Высоцкого
                Пускай живёшь ты дворником — родишься вновь прорабом,
                А после из прораба до министра дорастёшь
                Но если туп как дерево — родишься баобабом
                И будешь баобабом тыщу лет, пока помрёшь.

                Досадно попугаем жить
                Гадюкой с длинным веком
                Не лучше ли при жизни быть
                Приличным человеком
                • 0
                  Ну тогда насекомым родиться тоже выгодно — век недолог.
                  • +1
                    Недолог для нашего мировосприятия!!!
                  • +2
                    люди с самой опущенной кармой перерождаются в баобаб.
        • 0
          А зачем пользователей пугать :)
  • +12
    — Алло, мастерская, у вас железная дверь на пяти ключах открывается пинком.
    — Это не уязвимость, это ошибка в замке, мы её потом пофиксим.
    • 0
      — Это не уязвимость — нечего дверь пинать. Мы не можем защитить вас от каждого случайного пинка, купили нашу дверь — теперь она ваша.
      • 0
        — Вы же не завели сторожевую собаку. Мы не контролируем такие действия пользователей.
        • +1
          Новые возможности программы Guard@Mail.Ru
    • +8
      -Алло, мастерская!? Я купил у вас железную дверь, которую ваши мастера же и установили, но вчера ко мне в дом вошли какие-то вандалы, написали на стене «Хабр ру — всем привет!». Что это за дверь вы такую ставите ужасную?
      -А вы на замок дверь запирали?
      -Нет, а надо?
  • +2
    Спасибо за ссылку на Google Dorks, открыл много нового!
  • +7
    и спросила можно ли написать статью на Хабрахабр
    А зачем спрашивать? Это же не уязвимость! :)
  • +3
    summon badoo customer support: +1000 к неуязвимости
  • +23
    У них жюри конкурса действительно через одно место работало. На одну уязвимость написали, что это дубликат и что она исправлена, хотя PoC прикрепленный прекрасно работал. Мне их в итоге удалось убедить, что это проблема и ее все-таки засчитали.

    А session fixation так и висит. Сначала сказали, что это не уязвимость (wtf??). Потом признались, что имели в виду, что у них не воспроизводится. Получили описание на 2 страницы и скринкаст, после чего пропали и не появились до сих пор. Через 2 недели я попробовал зарепортить побочное использование этого же бага и получил восхитительный ответ — «Но это является дубликатом нашего внутреннего тикета, над которым мы уже работаем.»

    Т.е. после моего первого репорта они завели внутренний тикет, но не признались в этом. Просто прекрасно. А session fixation в итоге поправили, но bounty за него зажали.
    • +4
      Интересно, а кто минусовал? Вылезайте, бадуводы. Рассказывайте нам, как нашли баг, когда создали тикет.
  • –22
    Анна, здравствуйте. Спасибо за статью и за повторное обращение к этому вопросу.

    Давайте попробуем разобраться последовательно с двумя проблемами, про которые Вы написали.

    1. По поводу первой ошибки, когда чужой email оказывается подтвержденным. Мы сейчас подняли нашу переписку и обнаружили, что ответили Вам, что это не ошибка безопасности.

    Просим прощения, что некорректно сформулировали ответ. Это действительно не ошибка безопасности, но баг. Потому что в данной ситуации наносится ущерб нам как компании, а не пользователю. При помощи ошибки злоумышленник не может получить доступ к личным данным других пользователей. Все, что он может сделать – использовать чужой или несуществующий email в регистрации. Худшее, что может произойти — пользователь, который не регистрировался на нашем сайте, начнет получать от нас письма. Спасибо, что напомнили, что такой баг существует, мы его пофиксили.

    Информацию про все найденные уязвимости, за которые мы платили премии, можно посмотреть по ссылке: http://corp.badoo.com/security-board

    2. По поводу второй ошибки об индексации ссылок Гуглом и другими поисковиками.

    Сожалеем, что в переписке нам не удалось объяснить нашу позицию достаточно ясно. Попробуем сделать это еще раз.

    — Поисковики проиндексировали авторизационные ссылки для приблизительно 0,002% от существующих аккаунтов.

    — Подавляющее большинство проиндексированных аккаунтов можно отнести к тестовым или бот аккаунтам.

    — Сайт Badoo.com не отдает поисковикам никакие личные данные пользователей (даже имя и фамилию можно скрыть). Гугл проиндексировал их на сторонних ресурсах.

    Теперь давайте разберем подробно.

    Есть специализированные сервисы, такие как tweetmail и groups.yahoo.com, которые в автоматическом режиме открыто публикуют все получаемые сообщения на своих страницах. Некоторые пользователи в качестве email при регистрации использовали адреса в таких сервисах. С этих сервисов ссылки и попадали в Гугл. А это означает, что данная проблема затрагивает только тех пользователей, которые добровольно и осознанно опубликовали свои данные.

    Мы провели внутреннюю проверку и не обнаружили ни одного реального пользователя среди аккаунтов, которые мы смогли найти в Гугле.

    Кроме того, у нас в начале года, еще до Месяца безопасности, был включен механизм инвалидации авторизационных ссылок, в момент индексации их Гуглом. Но Гугл не может проиндексировать все одновременно.

    Мы были неправы, когда сказали, что скоро все эти данные будут инвалидированы. Как вы сами видите, в индексе Гугла остаются ссылки и проходит много месяцев прежде чем они переиндексируются и пропадают. Извините.
    Спасибо, что еще раз подняли эту тему. Мы готовы ответить на вопросы, если они еще остаются.
    • +7
      Я понимаю, что вмешиваюсь в чужой разговор, но:
      При помощи ошибки злоумышленник не может получить доступ к личным данным других пользователей. Все, что он может сделать – использовать чужой или несуществующий email в регистрации. Худшее, что может произойти — пользователь, который не регистрировался на нашем сайте, начнет получать от нас письма.


      Меня одного авторизовало за левого человека при переходе злосчастной ссылке из поисковой выдачи?

      При помощи этого бага пользователь не только может использовать чужой или не существующий email в регистрации.
      Он так же может:
      1) Отсылать сообщения от имени другого пользователя.
      2) Посмотреть скрытые фотографии пользователя.
      3) Читать переписку «угнанного» пользователя с другими пользователями и узнать личные данные об «угнанном» пользователе и данные тех с кем он переписывался (skype, email, номер телефона и другие средства связи помимо вашего сайта).
      4) Удалить профиль.

      То, что среди пользователей в поисковой выдаче нет, на ваш взгляд, реальных — это не отговорка. Помимо Google есть ещё большое множество поисковых систем в которых эти ссылки так же могут присутствовать. Я не проверял, но такую возможность нельзя отрицать.

      Не проще ли вам сделать ссылку активации одноразовой, как все делают?
      • +2
        Цитата приведенная вами относится к другой описанной проблеме. Вы путаете проблемы освещенные в посте.
        • +4
          Немного напутал, согласен. Цитата в моём комментарии лишняя и есть неточность в уточнении проблемы. Но тем не менее, это не меняет состояние дел.
    • +14
      >Извините.
      Лучше бы премировали девушку, а не отнекивались что это не баг, а фича, а это — не баг безопасности, но совести. Вы просили найти, она нашла.
    • +35
      Здравствуйте.
      «Мы провели внутреннюю проверку и не обнаружили ни одного реального пользователя среди аккаунтов, которые мы смогли найти в Гугле.», а я обнаружила только что
      по запросу inurl:forgot_enter site:badoo.com, который также упоминался в нашей переписке
      image

      image

      Парню придется восстанавливать пароль.

      • +12
        сработала 7я ссылка по запросу inurl:forgot_enter site:badoo.com, вот видео-доказательство, открывается в любом браузере
    • +4
      >наносится ущерб нам как компании, а не пользователю
      Если хоть одному вашему пользователю будет нанесен ущерб, ущерб вашей компании будет в 100 раз больше, ибо ни один нормальный человек не будет работать с сайтом который не защищает его аккаунт
    • +5
      Если вашей компании наносится ущерб (вы именно так сформулировали — «ущерб», не «увеличиваются расходы») — это уязвимость. Про остальное вам итак много напишут.

      P.S. Стыдно.
    • +5
      фу такими быть.

      одно скажу точно – подобным поведением и этим своим комментарием вы окончательно испортили репутацию своей и так не особо уважаемой компании.

      с чем вас и поздравляю.
    • +3
      Эгегей, Badoo! Вы слышите? Все происходящее как минимум говорит о том, что столь громкое заявление:
      На Badoo конфиденциальность информации имеет огромное значение. Так как мы отвечаем за ваши данные, мы разработали политику, гарантирующую их полную защиту во время использования сайта Badoo.

      попахивает тем, что Вам все равно на личные данные пользователей.
      Нужно моментально исправить этот глупый баг и дальше показывать какие Вы крутые.
      Изменить чужой пароль нагуглив ссылку, это как минимум не правильно! И уж точно доказывать обратное здесь нет смысла.

      Мне бы было неприятно, если бы я приехал домой с работы, поставил машину в гараж, а на утро на гараже висит новый замок и какой то чувак сидит в моей машине, слушает музыку и пьет пиво с моими друзьями на мои деньги. Только потому, что я на каком то форуме оставил координаты своего гаража.
      • –3
        Вы оставили не координаты горожа. Координаты горожа — это ссылка на профиль на Баду. Если вы оставляете просто ссылку на профиль, никто не сможет войти, и, показывая невероятный уровень интеллектуального и морального развития, начать посылать по кругу всех ваших контактов в пешее эротическое.

        А когда вы оставляете на форуме координаты вашей машины и ключ-пароль от замка гаража — то есть публикуете ссылку на вход в свой профиль — стоит ли потом удивляться гостям?
        • 0
          О себе: я есть
          Подписан на: Badoo
          Работаю: Badoo

          ч.т.д.
        • +1
          А минусы-то за что?
          Я вполне нейтралитетный человек, и если вы, товарищи минусователи, абстрагируетесь и посмотрите на ситуацию со стороны, то увидите, что неправильно в данном случае поступает человек яро защищающий компанию игнорирующую очевидные вещи, описанные deeankin выше. И если бы вы не работали в этой компании, я уверен, относились бы к этому вопросу по-другому, а значит на текущий момент это просто предвзятое отношение и инстинкт защищать. Про человечность и свою сущность-то не забывайте.
          • 0
            Walas, может быть, и неправ, но переходить на личности не следовало в любом случае.
            • +2
              С этим согласен, был не прав и на эмоциях, простите
    • +1
      Теперь понятно, откуда у меня 5 левых сообщений (в период 02.08.2012—12.07.2013) в инбоксе о сообщениях «от моих друзей» с адреса noreply@badoo.com, где я не регистрировался. После того как уточнил у одного из них о чем идет речь (а он, похоже, тоже был не зарегистрирован у вас), вместо открытия линка, отправил все это дело в спам.
      • 0
        посмотрите в заголовках письма CC и BCC, там должен быть email реального отправителя (он и послал вам это сообщение)
        • 0
          Их я проверил, все адреса, похоже, правильные. Даже если кто-то из них и зарегистрирован на сайте, мне не понятно, зачем у них есть возможность слать сообщения незарегистрированным пользователям. Но у себя я проблему решил, как я уже упоминал.
    • –1
      Второго официального ответа по итогам комментариев не будет? Разве нечего сказать? До сих пор не считаете это проблемой безопасности?

      PS. Больше всего огорчила позиция русскоязычных сотрудников, которые осознавая что делают, пытались оправдать действия компании. Ответ рабов.
  • +23
    Ну что ж, значит аналитики в следующий раз, наученные опытом, пойдут продавать уязвимости на черный рынок.
    • +5
      За что минус? Что неверно?
    • –2
      corp.badoo.com/security-board — вот был выездной палаточный чёрный рынок, на котором можно было продать уязвимости, найденные на Баду, и, некоторые, очень неплохо их продавали и зарабатывали.
  • +16
    Однако, очень быстро тут рот затыкают :) Зря вы так, господа из Badoo.
  • +13
    Что-то странное творится. Это сотрудники компании, что ли, организованно минусуют комментарии с шутками?
    • +5
      Не только с шутками, но и с правдой. За мой комментарий прямо какая-то война развернулась. Одновременно с их официальным ответом пришло первые 4 минуса (примерно за 1.5-2 минуты все произошло).
      • +9
        Такая же фигня. У них весьма специфичная PR стратегия.
        • +17
          дело майлру живет и побеждает
          • +7
            Ладно хоть пока без Guard'а :D
      • +19
        Очень удивился увидев 30+ у официального ответа, спустя пару минут после его публикации…
        • +19
          Вы знаете, как Стаханов стал рекордсменом? Под его логином в шахту входила целая бригада.
        • –5
          а что, плохой ответ? мне нравится — плюсанул
          • +29
            Конечно нравится :D
            Подписан на: Badoo
            Работаю: Badoo
            • –4
              Ну достаточно посмотреть на ник и понять кто это, если за этим ещё лезть в профайл… Ну ладно…
              • +9
                Да сколько же вас здесь? :D
                • –6
                  Уж точно меньше чем всех остальных, а то что за компанию переживаем и следим за темой, которая трогает многих — так это радоваться надо что такие люди в Баду работают.
                  • +7
                    Я ничего плохого в ваш адрес не писал. Просто вы становитесь похожими на сотрудников Mail.ru, которые оправдывают действия своего детища mail.guard. Мы не понимаем, что они о нас заботятся выпуская трояноподобный софт, и они не могут понять нас, что как бы троян — это плохо и не важно какие благие намерения он несёт.

                    Без обид ;)
                    • –7
                      То есть все сотрудники Баду беруться и что-то оправдывают — ваша ложь. Я например здесь только как наблюдатель и читататель.

                      Без обид, что обвинил во лжи.
            • –1
              Так я не скрываю, что работаю в Badoo. И повторяю, мне очень нравится наш ответ. Я — заинтересованное и не объективное лицо. Я не имею права голосовать?
              • +8
                Никто вас этого права не лишал. Нравится — голосуйте, не стоит обращать внимание на всяких вроде меня ;)
          • +6
            Я не сказал что он плохой, мне показалось странным наличие такого большого количества плюсов у комментария который появился несколько минут назад.

            По сути ответ сводится к тому, что ваша компания (ваша, потому как вы в ней работаете), просто некорректно выразилась из-за чего ответы были поняты не правильно. И «мы не виноваты — это пользователи сами ссылки для входа в свои аккаунты в интернеты выложили».

            Так же было бы интересно увидеть ответ на комментарий товарища Graphite.
            • –6
              Сожалею, что вы читаете предвзято и невнимательно.
              По сути пост — провокация изначально (так вообще не делается с секьюрити багами, но это вообще отдельный разговор).
              Автор, если бы дорожил своей репутацией, так бы не делал.
              Дальше, мы признали свои косяки. На-ко-ся-чи-ли и признали это. Но проиндексированная приватная инфа, взятая поисковиком на стороннем ресурсе и позволяющая зайти в пару сотен бот-акков из 170 миллионов — это в реальности проблема совершенно иного масштаба, чем написано изначально. Хабра-юзер читает поверхностно, повёлся и бьется за принцип (минусует корректные ответы, гадит в карму сотрудникам и тд), ну пусть бьётся :) Отличная иллюстрация того, как работают массовые информационные вирусы.
              • +5
                Проблема не в том, что поисковая система проиндексировала и даже не в том, что эти ссылки ещё не вылетели из индекса. Проблема в том, что они РАБОТАЮТ!
                Хабра-юзер гадит вам в карму, потому, что ваши сторудники гадят нам в карму. Причём гадят тем, кто вам нагадить в карму не может.
                • –4
                  «Проблема не в том, что поисковая система проиндексировала и даже не в том, что эти ссылки ещё не вылетели из индекса»

                  Я нигде не писал, что проблема в этом. Прям по Чапеку — припиши оппоненту ложную идею, и побори её.
                  Вы не понимаете, в чем проблема, но с завидным упорством продолжаете писать в этот тредик про нашу «дубовость», например. Это, вероятно, подскажет Вам ответ на вопрос, что Вы делаете не так — это насчет Вашего комментария выше о буддисткой карме. Вообще, я не очень понимаю во всяких там буддизмах, но имею Вам кое-что сказать от чистого сердца. Мир Вам бьёт по башке и никогда не дает Вам разжеванной понятной обратной связи, почему Вы получили по башке. У вас есть шанс либо прислушаться и задуматься, либо продолжить путешествие в забвении. И последнее, во-общем, тоже неплохо — «блаженство в черепе пустом».

                  Проблема в том, что идеального решения, которое не затронуло бы массового пользователя и не сделало бы его жизнь неудобной — нет. Ну сделаем мы проверку на подозрительные заходы: она будет либо пост-фактум, что позволит все равно входить в акк, либо будет блокировка входа, которая потребует дополнительных действий и забатхертит обычных юзеров. Всегда ищется компромисс между удобством большинства и перфекционизмом/паранойей меньшинства. Культурный феномен — меньшинство (обычно — более активное, продвинутое, интеллектуальное — по крайней мере, отчаянно считающее себя таковым) навязывает свои нормы большинству. Что мы и наблюдаем в этом тредике.
                  • +4
                    >которая потребует дополнительных действий и забатхертит обычных юзеров.
                    /me шёпотом: проверяйте хотя бы что referer != $searchEngine это отвадит много киддисов.
              • +7
                так вообще не делается с секьюрити багами

                Ни в переписке ни в «корректном ответе» ни что не названо «ошибкой безопасности» (или секьюрити багом, одно — буквальный перевод другого). Более того, по обоим пунктам неоднократно подчеркивается, что ошибкой безопасности это не является.

                Дальше, мы признали свои косяки.

                Не похоже.
                Ситуация тут вполне бинарная: признали вы это ошибкой безопасности или нет. Изначально — нет.
                Если бы сейчас вы «признали косяки» это выглядело бы по другому:

                1. Просим прощения, что не правильно классифицировали присланную уязвимость (и не выплатили премию).
                2. Благодарим, что нашли способ пробиться сквозь не компетентных сотрудников с тем, чтобы мы правильно классифицировали эту уязвимость.
                3. Куда высылать премию?


                Либо крестик снимите, либо трусы наденьте — либо это секьюрети баг, либо нет. А то Badoo относится к этому не как к ошибке безопасности, а вы требуете от автора, чтобы она относилась как к ошибке безопасности, на репутацию намекаете…

                PS Скажите, пожалуйста, а как лично вы узнали о появлении «корректного ответа»? 30 плюсов за 2 минуты вызывают очень неприятные подозрения. Особенно вместе с появлением минусов у комментария выше в то же самое время. Особенно с учетом последующей динамики.
                • +3
                  (минусует корректные ответы, гадит в карму сотрудникам и тд)

                  Что и требовалось доказать. Мне минус в карму прилетел меньше, чем за 10 минут.
                  Чем же я кого-то оскорбил?
                  • +3
                    Не вам одному. Видимо, за то, что я предвзятый, невнимательный, проставил всем сотрудникам минусы и мое восприятие отличается от единственно верного корпоративного восприятия badoo.
                  • +1
                    > прилетел меньше, чем за 10 минут.

                    Вам хоть один, а мне три.
                    И я не думаю, что это власти Тайланда.

                    Господа из Badoo, как вам не стыдно?
                    Минус в карму — это не «мне не понравилось», а «я никогда не хочу видеть этого человека на Хабре».
                    • +3
                      На счёт минуса в карму верно подмечено.

                      Моя карма уже сутки скочет в диапазоне от -5 до +8.
                      Карме Badoo не повезло больше, вчера было +50 или около того.

                      Я бы на их месте по-тихому связался с автором статьи, попробовал бы найти с ней общий язык, внимательно бы выслушал её точку зрения, в общем попробовал бы быть наиболее объективным. Но мнение большинства сходится к тому, что Badoo не правильно классифицировал «не уязвимость» и не хочет принять/признать это.

                      Я думаю (ИМХО), что тут наиболее правильный выход был не противоречить мнению большинства хабра-людей, а согласиться, принять меры и выплатить автору статьи положенный гонорар. В таком случае репутация компании пострадала бы меньше всего, а может даже и выросла бы из-за проявленной объективности и адекватности.

                      P.S.: Моё мнение не претендует ни на что.
              • +4
                >Сожалею, что вы читаете предвзято и невнимательно.
                Напротив.

                >По сути пост — провокация изначально (так вообще не делается с секьюрити багами, но это вообще отдельный разговор).
                >>Мы еще раз очень внимательно посмотрели на вашу заявку и решили, что данная проблема не является уязвимостью Badoo.
                От того что вы постоянно переименовываете «ошибку безопасности» в «секьюрити баг» (буллшит бинго!) суть дела не меняется, это как переименовывать «мэра» в «градоначальники».
                Расскажите, как «делается с секьюрити багами»? Но мне кажется, мы все прекрасно видим как это делается у вас.

                >Автор, если бы дорожил своей репутацией, так бы не делал.

                Компания, дорожащая своей репутацией, так бы не делала:
                >Данное решение жюри по вашей заявке является окончательным.
                Кстати, какое решение-то?

                >пару сотен бот-акков
                Это бот?
              • +7
                Автор долго переписывалась с вашим саппортом. Ждала несколько месяцев. И не видя никаких подвижек написала пост на хабр. На провокацию не тянет. Ваш саппорт показал себя с худшей стороны. Дубовость, маразм, синдром вахтера типа «это наше окончательное решение» — вы обидели человека, старался, искал, нашел а вы такие «так це не баг — це фича, пшел вон». Ну раз не баг, то почему бы статейку об этом не написать? Тем более что автор таки предупредил саппорт, что статейку на хабр напишет, а саппорт что ответил? Ну вот и получите свою «минуту славы».
                Ну а за репутацию автора беспокоиться не стоит. Ссылку на этот пост она с гордостью может вставить в резюме.
  • +8
    Хабр чатиться сам с собой в аккаунтах баду:

    habrastorage.org/storage2/3d5/d18/77c/3d5d1877ceae2cd5da2f591dca0fb26d.png
    • +7
      друзья друзей теперь друзья
  • +6
    Несколько лет назад в CommuniGate (4.0.6) была бага — sessid хранился в URL, при переходе по ссылке браузер в реферере передавал адрес той страницы с которой был переход (с sessid). По нему можно было войти в ящик пользователя.

    Переписка со Сталкером была аналогичной — Это не уязвимость. Если по ссылке перешел, а браузер передает рефереры — ССЗБ, «пользователи сами это делают, мы не можем их остановить», к тому же вообще содержимое адреса не может быть секретно, его ведь и через плечо подглядеть можно. (это вольный пересказ, давно было дело, дословно не помню).

    За полчаса был небольшой proof of concept скриптик написан — ставится как CGI'шка, желаемой жертве отправляется письмо со ссылкой на него, при переходе он схватывает sessid из реферера и по нему выкачивает первые 10 писем из ящика.

    После публикации эксплойта этой «не уязвимости» в BugTraq им, похоже, пришлось таки признать, что и они иногда совершают ошибки, а кто-то «уж больно умный» со стороны может это заметить, и бага была исправлена.

    Так что, думаю, миллионы пользователей бады могут сказать вам спасибо за этот пост — без вас бы плохие парни, которые вероятно пользовали эту дырку уже много времени, теперь перестанут вскоре.
  • +6
    Как я понимаю, раз создание любого аккаунта без подтверждения — это не уязвимость, то и умышленное использование этой «фичи» не будет противозаконным? Спамим, парни? :)
  • +5
    Похоже, что на eu1.badoo.com прикрыли лавочку. Не пускает больше.
    Но на us1.badoo.com все по прежнему работает! :)
  • +6
    Лет 8 назад мы нашли смешную уязвимость на спайлоге, тогде ещё популярном. Мы сообщили о этом в спайлог, они репортовали, что мол спасибо, но ничего серьезного с багой сделать нельзя. Однако мы не лыком шиты. Напомню, что баду делали те же ребята, что спайлог, бегун и мамбу. Тогда не было хабра и мы выложили админский пароль от спайлога на ннм.ру, потехи было много.
    Столько лет прошло, а ничего не изменилось.
    • +1
      разве спайлог делали те же люди? вы ничего не путаете?) если один и тот же основатель, это ничего не значит :)
      • +1
        действительно, подход к реализации проектов у гугла всегда разный, или у яндекса, да? ничего общего между проектами.

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.