E-mail адрес и глупость пользователей. Осторожно, уязвимость.
Автор: Shmel | Категория: Мой блог | Опубликовано: 08-09-2014
0
Сегодня, проснувшись, я обратил внимание на ряд новостей о том, что в открытом доступе появились выложенные базы пользователей Yandex, а ближе к вечеру появилась информация о том, что появились в открытом доступе и базы Mail.ru. Конечно, первое, что я сделал, проверил, есть ли мои адреса в базе. Не оказалось, но внутри меня что то стало томить. Какая то мысль о том, что наличие таких баз чревато не только тем, что кто то чужой прочитает твои письма.
Взял чей то адрес, вошел в почту mail .ru. Переписка — неинтересно. Зашел в Мой.Мир пользователя, есть сообщения — неинтересно. И тут до меня дошло.
Многие пользователи глупы по умолчанию. А что если…
Как известно пользователям, система Webmoney позволяет регистрировать кипер Mini, где в качестве логина используется « E-mail », а в качестве пароля используется «Логин». Нашел наиболее подходящий ящик с паролем, зашел в почту. Пошел в сервис входа системы Webmoney , ввел в логине имя и … ввел пароль от ящика на mail .ru и вуяля. Не успев моргнуть я оказался в в кипере пользователя, в котором красовались вполне осязаемые деньги.
Я не стал проверять, можно ли эти деньги у пользователя украсть. Позвонив другу попросил его отписаться в Арбитраж, что он и сделал, уведомив Арбитраж системы о том, что в открытом доступе не просто адреса от почты, а ключи к карману юзеров.
Рекомендации:
- При регистрации в системе Webmoney всегда создавайте отдельный ящик только для системы, в который Вы не будет заходить для отправки почты.
- Никогда не дублируйте пароли. Для каждого сервиса должен быть свой уникальный пароль. Тогда, если у Вас украдут почту — никогда не смогут с ее помощью авторизоваться в других сервисах.
- Нигде и никогда не афишируйте свою почту. Она исключительно для авторизации в кипере.