Опубликовано: 22.08.2017
Интересно прочитать чужую переписку или угнать что-нибудь полезное при помощи доступа к e-mail пользователя? Тогда эта статья для Вас — попытаемся разобраться, как же возможно узнать пароль почты (e-mail).
Совсем недавно один из моих почтовых ящиков был взломан, находился он на Mail.ru. Я заподозрил, что при взломе пароля почты использовались какие-то уязвимости этого популярного сервиса почты и пошел разбираться, где же проблема.
Прошло немало времени и сил, однако дыра была найдена — и это не совсем дыра, а скорее целые ворота настежь открытые, что называется «приходи и забирай пароль». Точно не знаю, этот ли лазейку использовали взломщики, это и не важно. Но где лежит найденная дыра и как ее можно прикрыть, я вам сейчас расскажу и покажу.
Вставьте скрываемое содержимое внутрь блока!
Итак, шаря по настройкам, вот ссылочка:
http://win.mail.ru/cgi-bin/options?#######
я вдруг наткнулся на поразительную ссылку вот такого вида
http://win.mail.ru/cgi-bin/userinfo?#######
под названием «Анкетные данные: Здесь хранится информация, введенная Вами при регистрации почтового ящика: а именно, ФИО, дата Вашего рождения, а также некоторые настройки для Мail-Агента».
Чтоб было понятно: несколько лет назад на волне моды на собственные интернет-пейджеры в Mail.ru сделали аналог ICQ — Mail.ru Агент. Сама программка была ужасно глючная и медленная, что сейчас собой представляет этот мессенжер, я не знаю и как-то не очень хочеться. Агент ставился по умолчанию при регистрации и помимо чата и проверки почты еще и собирал о пользователе данные о том, чем он в сети занимается — то есть попросту шпионил за ним.
Тогда это еще не считалось зазорным — на другом крупном портале, забыл название,такого шпиончика («колобка», кажется) втыкали всем, кто сдуру браузер на нем открывал, причем «колобок» еще и деинсталляции не поддавался. От Агента же хоть отказаться было можно. Собранные подобным образом данные предполагалось рекламодателям продавать.
http://mail.ru/cgi-bin/passremind
Самое интересное, что чтобы узнать пароль почты, совсем не обязательно точно заполнять все предложенные поля, достаточно лишь угадать / подсмотреть / выманить какую-то их часть. И скрипт на сайте вылажит пароль на тарелочке — вышлет его на тот почтовый адрес, который Вы(!) укажете.
Вы спросите, а что за данные нам нужны? Имя, фамилия, год рождения. Ну наверное, уже все дагадались, откуда их взять, правильно — посмотреть в анкете в программке «Mail.ru Агент».
Можно лишь сказать, что у популярного почтового сервера «одна рука не знает, что делать другая». Одна из них вешает замок на дверь, а другая кладет ключ под коврик и радуется.
Попадёте ли Вы на эту уловку или нет, но первым действием в данном случае считаю нужным:
да