Открытка компании: Спам на ВКонтакте: когда заклеите дыру, Дуров?

Хакеры сделали подбиралку кук, заходят в аккаунты и рассылают спам.
Этой дыре уже месяц. ВКонтакте молчит.
Когда уже полечите?

Добавить 75 комментариев

  • Ответить
    Альтер Эго

    Айпишники создадут больше проблем, нельзя будет из дома работать и т.п. надо формат куки менять, зашифровать и т.п., чтобы подобрать так легко было нельзя.

  • Ответить
    Alex Kruglov ВКонтакте

    Что то как то информация куцая… Не замечал такой проблемы самой по себе — понавешают себе троянов, расскажут всем свои пароли и е-мейлы, а потом обвиняют кулхацкеров. Учите правила сетевой безопасности.

  • Ответить
    Альтер Эго

    > понавешают себе троянов, расскажут всем свои пароли и е-мейлы, а потом обвиняют кулхацкеров. Не, там внутриконтактовая дыра. Никаких троянов и прочего не требуется.

  • Ответить

    Никогда cookies нельзя было подбирать — кепча вылезет при третьей неудачной попытке с одного IP. Взламывают через фишинговые сайты, как и везде.

  • Ответить
    Альтер Эго

    durov В последнее время было замечено уменьшение спама, вероятно это капча К вам еще один вопрос, возникла проблема с пропашвими голосами которые были куплены легальным методом, никакого рода накрутки не использовались. Голоса были списаны и все попытки выстроить консруктивный диалого с суппортом закончились запретом на создание новых вопросов. Пропала сумма эквивалентная примерно 600$, но дело даже не в этом, дело в том как суппорт обращается с клиентами. Как можно связаться с вами или вашим представителем для решение этой и еще нескольких проблем связаных с рекламными компаниями?

  • Ответить
    Альтер Эго

    > Взламывают через фишинговые сайты, как и везде. Блажен кто верует. (Но через фишинговые сайты, конечно, тоже.) > дайте линк на программу штоле =) Погугли.

  • Ответить

    > Блажен кто верует. Мне «веровать» нет смысла: код по пресечению подбора кук я сам писал, сам тестировал — и только что еще раз протестировал. Судя по тому, что конкретной информации о проблеме, — ноль, все это — из области «слышал звон…». > Голоса были списаны и все попытки выстроить консруктивный диалого Подавайте в суд. Тогда мы узнаем, есть ли у Вас имя, id ВКонтакте, способ и время оплаты, а также другую информацию, без которой такого рода разговоры — пустая трата времени.

  • Ответить

    Посмотрел на этот случай. Там, помимо потоков SMS-фрода, был и платеж по WebMoney. Скорее всего, оказанный объем услуг (сотни тысяч переходов!) многократно превысил объем легальной части платежа. Но я попрошу перепроверить. В любом случае, документы от контент-провайдеров с доказательством фрода у нас есть.

  • Ответить
    Альтер Эго

    durov В сообщении по внутренней почте я указал номер телефона по которому вы можете с нами связаться. Прямое общение значительно упростит процесс решения проблемы и для вас и для нас. Сами посудите, если бы мы занимались фродом и раздавали свои контактные данные, нас бы давно пытали в застенках органов МВД.

  • Ответить
    Альтер Эго

    Durov: все это — из области «слышал звон…». Durov, вот я вашим сервисом не пользуюсь и я лично слышал только звон. Но это звон у кого надо звон. В девять часов вечера в пятницу на РИФе на секции «Другой поиск» я своими ушами слышал, как Илья Сегалович, директор по технологим Яндекса, говорил, что у него со странички Вконтакта в 18 часов пятницы отправилось 6 сообщений, хотя он несколько часов в сети не был. Носик стоял рядом и говорил, что у него то же самое. Заподозрить Сегаловича, что он ведется на фишинговые сайты или у него завирусован компьютер троянами — извините. Он, кстати, сказал, что вам пишут про эту дыру уже давно, но вы не реагируете. Мне кажется, вы себя просто обманываете насчет фишинга как единственного источника захвата аккаунтов. Программ для взлома ВКонтакте в сети действительно полно.

  • Ответить
    Альтер Эго

    При чём здесь МВД? Кого вы обманываете фродом? МТС? Так они не будут пытаться вас засудить, им этот фрод только выгоден (покупка SIM-карт, отчёты о числе пользователей), да и подобные действия могут сказаться на имидже. А деньги они не теряют, потому что списывают их потом с клиентов (т.е. как раз с вконтакте).

  • Ответить
    Альтер Эго

    Alter Ego, 26.04.2009 06:57:45 А вы не тот же самый alter ego, который когда-то видел обедающих Дурова и Попкова? :)

  • Ответить
    Альтер Эго

    Нет, другой. Нас, Альтерэг, знаете сколько по конференциям ходит, буквально каждый второй. Вообще у Дурова походу развилась мания преследования, он думает, что каждый ругающий какую-то функцию в ВКонтакте — враг, конкурент, злодей.

  • Ответить
    Альтер Эго

    >При чём здесь МВД? Кого вы обманываете фродом? МТС? Так они не будут пытаться вас засудить, им этот фрод только выгоден (покупка SIM-карт, отчёты о числе пользователей), да и подобные действия могут сказаться на имидже. А деньги они не теряют, потому что списывают их потом с клиентов (т.е. как раз с вконтакте). Мобильный оператор по факту определения фрода блокирует номер, благо ПО для его определения работает эффективно. Операторы и контент провайдеры взаимодействуют между собой поскольку в их интересах избавится от фрода в режиме риал тайм, как это и происходит. Поскольку контент провайдер имеет информацию о факте фрода, до вконтакте никакие данные о пополнении доходить не могут впринципе. Попытка засудить фродера скажется на имидже оператора? Да, безусловно, но она только положительно повлияет на имидж компании вызвав более высокий уровень доверия к себе.

  • Ответить

    Про врагов и конкурентов здесь пишете вроде бы Вы. Все остальные, включая меня, пишут о том, что без конкретики Ваш пост представляет собой информационный шум. Подбор cookies не работает. Если есть сомнения — попробуйте подобрать и покажите. По поводу взломов: разумеется, есть еще трояны, взлом через почту, взлом через другие сайты (если человек использует один и тот же логин с паролем в нескольких местах). В отношении Сегаловича и Носика самое вероятно — последнее, так как они наверняка зарегистрированы на десятках стартапов под одним паролем. Месяц назад, например, был слив паролей с сайта free-lance.ru, были и другие. Я не удивлюсь, кстати, если мой аккаунт на Роеме будет взломан — пароль был использован в нескольких других местах. Но почему-то никак не взломают мой аккаунт в Контакте — или аккаунт любого из разработчиков/администраторов/модераторов. Хотя у нас нет никакой «особенной» защиты — стандартные учетные записи. В любом случае, cookies здесь не к селу. Если появится конкретика — шлите, проверим.

  • Ответить

    > Подбор cookies не работает. Если есть сомнения — попробуйте подобрать и покажите. Павел, расскажите алгоритм генерации кук. Нужно понимать, что если алгоритм «нельзя» рассказать даже в общих чертах, то это значит что куки скорее всего можно будет подбирать. Т. е. в генерации кук непременно должно быть что-то завязанное на пароль, а не на сам алгоритм. По поводу подбора кук — могу попробовать подобрать. Но мой аккаунт точно ломали, хотя я сижу под Линуксом, вирусов нет, и никогда ничего у меня не ломали кроме контактов.

  • Ответить
    Alex Kruglov ВКонтакте

    Прям вот интересно, уважаемый pianist — чем же ваш аккаунт вконтакте так интересен взломщикам? И почему тогда не взломают например меня? Хотя я знаю человек 10 которые открыто заявляли о том что этого хотят, а армия Воене просто спит и видит как бы меня ломануть, учитывая их продвинутость и многочисленность — было бы это настолько просто — давно бы ломанули.

  • Ответить

    Есть подозрение, что интересуют не чьи-то конкретно аккаунты, а просто случайно попадают на чьи-то аккаунты. Опять же, это скорее всего аккаунты, коготые поставили галку «помнить меня». В самом деле, спаммеру всего лишь надо научиться генерировать валидные куки. Это можно делать прямым воровством (представим себе злоумышленника на каком-то хорошем узле), а можно — генерацией. Подозреваю, что именно второе и получилось сделать. Хороший генератор кук — далеко не очевидная задача, а внимания ей уделяют всегда по минимуму. Очень часто, например, используют какой-нибудь генератор случайных чисел, да ещё из стандартных, и рассуждая просто «вот тут я xor’ю, тут лабуду напишу, а тут ещё сделаю такую-то штуку» — думают что офигеть зашифровались. Что же касается ВКонтакте, только что проверил, что достаточно ОДНОЙ(!) куки remixsid, чтобы оставаться онлайн. Т. е. фактически нам достаточно залогиниться, получить свою сессию и научиться генерировать следующие. Наверняка специалисты по взлому знают как свои пять пальцев все очевидные способы сделать это, а ВКонтактщки что-то хитрое могли не париться изобретать.

  • Ответить

    Кстати, в такой ситуации, если генерировать куки легко оказывается, чуваки могли делать больше фишинговых сайтов чтобы запутывать и уводить в сторону. Да, кто-то клюнет на левую страничку, похожую на контакты, но мне попадалось не так уж много фишинговых сайтов — и все они были сделаны бездарно, даже дизайн воровали не качественно. Да и Фаерфокс ругался… А вот плодя такие фишинг-сайты можно создателей уводить в сторону от главной фишки.

  • Ответить

    > По поводу подбора кук — могу попробовать подобрать. Но мой аккаунт точно ломали, хотя я сижу под Линуксом, вирусов нет, и никогда ничего у меня не ломали кроме контактов. Если у вас почта на mail.ru, ya.ru или еще где-то где есть дыры (наверняка везде есть) и вы сидите в почте через веб-интерфейс, то у вас могли увести идентификатор сессии через XSS уязвимость почты. Почту у вас так не уведут, но доступ к ней будет, пока сессия валидна. После этого можно отправить запрос на восстановление пароля вконтакте и получить его.

  • Ответить

    Кстати кроме мейла возможно XSS на самом сайте ВКонтакте можно провести. Потом есть еще один вариант – была когда-то уязвимость IE, что можно было получить куки от сайта в другом домене. То есть вам могли просто прислать ссылку на злонамеренный сайт, вы по ней зашли и оп-па, ваша сессия от ВКонтакте уплыла.

  • Ответить

    jet, вы знаете, на Мыле и Яндексе дыр в почте нет уже давно, тем более таких очевидных как XSS. Да и ящик Мыла или Яндекса — куда более забавная вещь. А смена паролья ВКонтакте — я бы это заметил. Кстати, знакомая тоже жаловалась, что «какой-то вирус увёл пароль контактов», хотя у неё Линукс тоже. Тогда я ей сказал, что скорее всего на зараженном компьютете в гостях могла посидеть — такое было. Что же касается меня лично, то со своим ноутом я из гостей хожу на прокси по ssl, а оттуда уже свои бомжатники проверяю. Да и параноик в таких делах, даже аська с джаббером OTR’ом шифруются :)

  • Ответить

    Дыры есть, вы просто наверное про них не знаете, буквально в феврали мне присылали письмо, в котором сработало XSS в IE6. А ВКонтакте пароль не сменяется при его высылке, точнее как сейчас не знаю, а полгода назад точно не менялся.

  • Ответить

    jet, я не сидел никогда под ИЕ6, с 2000 года у меня только Юниксовые ОС. То что контакты высылают пароль (если это так) — это преступление. Проверил — бляпи..ц, действительно высылают. Моё мыло хацкеры не читают, но высылать пароль текстом — преступление. Значит они его и в базе хранят текстом. В общем, Дурову надо бы подумать о безопастности. Контакты Опасносте!!11

  • Ответить
    Альтер Эго

    Не, не надо Дурову думать о безопасности…Это нам не поможет в борьбе. Лучше всего сразу повесить дисклаймер на тему: мы не несем никакой ответственности за ваши личные данные. Вас сюда типа никто не тянул, сами ввели ))

  • Ответить

    >>> То что контакты высылают пароль (если это так) — это преступление. Проверил — бляпи..ц, действительно высылают. Точно так же его высылают, например, на MySpace. Сотням миллионов пользователей, среди которых тысячи знаменитостей, это не мешает. Но Вас я могу понять: Вы более лакомый кусок для взломщиков, чем Барак Обама или Мадонна. Случайно подобрать пятидесятисимвольную куку сессии, которая зависит от множества различных нетривиальных параметров, вряд ли возможно. Но мы проведем дополнительное исследование этого вопроса. Опять же, не поверю, что у Сегаловичей и Носиков разные пароли для Одноклассников, ВКонтакте, Мейла и проектов третьего эшелона. Где именно их взломали — большой вопрос, но обсуждать взлом на каком-нибудь Вспомни.ру было бы немодно.

  • Ответить
    Альтер Эго

    Мне нравится, как Паша отмечен в Jibros.com. Этот поисковик прекрасно подходит для СИ по выманиванию необходимой информации о юзере. Так вот, по запросу http://jibros.com/search?search=+ мы видим, естественно, аккаунт Павла Вконтакте, и (все фанаты напряглись…) в Мире Тесен, где Павел фигурирует под именем просто «Мария». Если серьезно, после заявления: >>Но почему-то никак не взломают мой аккаунт в Контакте — или аккаунт любого из разработчиков/администраторов/модераторов. Хотя у нас нет никакой «особенной» защиты — стандартные учетные записи. как-то стремно становится, что у Паши сопрут пароль и все такое. И сделают это Воены

  • Ответить

    >>> Точно так же его высылают, например, на MySpace. Это минус MySpace. Как вы понимаете, хранение паролей в plaintext — УЖЕ зло, даже для проектов третьего эшелона. Хотя бы потому что могут прочитать мою личную переписку. Барак Обама и Мадонна прежде всего хранят в тайне свои логины, да и не ведут сильно важных переписок. По поводу генерации кук. Копайте, если интересно — пишите в личку, выскажу кое-какие соображения, которые не стоит публиковать тут. Здесь замечу одно: такая кука записит чаще всего от номеров железяк типа МАК-адреса, но это не помогает, есть мастера по подбору.

  • Ответить

    эм, вроде бы вконтакте всегда remixpwd хранился как md5 от пароля и это всегда всем было известно тут скорее проблема в том, что можно так или иначе «прослушивать» всякие локалки/прокси/… и выбирать куки, которые после этого до смены пароля остаются совершенно валидными по поводу увеличения спама последнее время — да, но по своему ощущению большинство из них приходится на тупо фишинг и хочется пожелать, чтобы по особо приевшимся адресам тупо удаляли сообщение, а не оставляли его до перехода с описанием «сайт — фишинг»

  • Ответить

    и в догонку — последнее время появились хорошие функции администрирования группы для борьбы со спамом, как «удалить последние сообщения пользователя со стенки» и «удалить последние залитые пользователем фотографии», хотелось бы паналогичных для топиков, видео и аудио

  • Ответить

    cryuglov Спасибо, если принимаются пожелания, то кнопка «зачистить всю группу от …. и поместить в черный список» в ряде случаев была бы тоже весьма уместна )

  • Ответить

    вот такой спам мне в контакт пришел, — «Т­ольк­о ч­то н­а­ сайте­ IQ-max.net про­шел т­ест IQ­. Был­ п­р­ия­т­но удивлен­ :) Мо­й­ IQ­ = 120­. А у­ т­ебя­ сколько­?» — потом парень отписывался всем, что его аккаунт взломали и просил прощенья. а вот более искусное «Привет Леша ! Можешь мне помочь? Я почти выигрываю главный приз в мартовском конкурсе на лучшее фото ;} это ноутбук производства SAMSUNG, мне не хватает всего пол процента до первого места )) Если тебе не очень тяжело, отправь смс на номер голосования 6008 с текстом «mart 4959″ только без кавычек. Помоги, пожалуйста, тебе эти 3 рубля за сообщение это совсем немного, а я ноутбук выиграю !!! Деньги конечно верну, даже больше !!! Мне уже куча знакомых помогла, уже совсем чуть-чуть остается ! Если можешь помоги, хоть одну смс А если считаешь что подтасовывать результаты голосования нельзя то просто удали мое сообщение, я не обижусь, хотя все так делают! И это не спам, просто я всем друзьям рассылаю это сообщение, совсем немного осталось, так обидно будет не выиграть! ! ! Заранее спасибо! Таня» а еще мне ссылка приходила на мнимый вконтакте http://vkonlalkte.ru/id8129121/ — где мне писали, чтобы я зашел и посмотрел какую-то подружку, …. и что тут еще скажешь … проблем у господина Дурова не мало, но спам — просто жесткач, хотя я не знаю как в одноклассниках… там тоже есть? это болезнь? или что-то измениться?

  • Ответить

    Большая часть такого спама от незнания пользователей. Может стоит написать небольшую заметку на тему безопасности и разместить ее на видном месте? Там же посоветовать какой-нибудь бесплатный антивирус. Последнее время таких спамов приходит от 2х в день при том, что список друзей у меня очень и очень скромный по меркам вКонтакте!

  • Ответить

    1. Вирусы и трояны не умеют включать компьютер. Они тут совершенно не при чем. 2. Тот же самый пароль уведенный с другого сайта тоже не катит. Да не могу я себе представить 15 миллионов человек вбившие пароль на фишинговом сайте 3. У примеров выше одна особенность. Уходят строго в пять адресов. 4. Павел, вы правда про эту эпидемию «5друзей» только что услышали? Там текстов то всего несколько. Вы можете все их врегулярку засунуть. Уже с месяц как

  • Ответить
    Альтер Эго

    @@Большая часть такого спама от незнания пользователей. Может стоит написать небольшую заметку на тему безопасности и разместить ее на видном месте?@@ Вы опоздали на несколько лет. Это тогда было принято давать идиотские советы, как не светить свой адрес, как уберечься от вируса. Помню, Носик с Экслером этим особенно отличались, все давали в прессе списки глубокомысленных советов. Сейчас адреса и логины подбирают. Занимаются этим профессионалы. За деньги. И защититься от них гигиеной нельзя. Это должны делать централизованно держатели соцсетей. Не надо лечить население, что нужно с собой носить монтировку и короткоствол или не ходить по темным местам. Надо просто обеспечить патрулирование и безопасность улиц.

  • Ответить

    Alter Ego Полностью солидарен с Вами. В свете недавних постов про открытость базы e-mail Mail.ru, которая пробивается через МайлАгент, уязвимости с паролями в Opere (wand.dat), плюс ряда собственных наблюдений про «засвеченность» почты и т.п., любой пользователь, который использует Веб 2.0, уже обречен на то, чтобы его ломали, спамили и т.п.

  • Ответить

    Лично у меня в одноклассниках было сообщение от знакомого по поводу отправь смс и получи 100 рублей. Далее интересней: знакомому я скопировал этот текст и написал ниже вопрос «твое?» пришел ответ «нет, не мое». на следующий день вся переписка исчезла загадочным образом, как и само сообщение (возможно фильтр включили).

  • Ответить

    «Вы опоздали на несколько лет. Это тогда было принято давать идиотские советы, как не светить свой адрес, как уберечься от вируса.» Не стоит забывать про тех, кто недавно в интернете. «Не надо лечить население, что нужно с собой носить монтировку и короткоствол или не ходить по темным местам.» Эх, не знаю как вы, но я очень часто сталкиваюсь с населением, которое не помешало бы подлечить. Многие, к сожалению, всё еще не знают даже самых элементарных правил поведения в сети. «Надо просто обеспечить патрулирование и безопасность улиц.» Согласен. Но одно другому не мешает.

  • Ответить
    Альтер Эго

    @@Не стоит забывать про тех, кто недавно в интернете. @@ Проблема не в образовательном уровне. Проблема в том, что спам стал профессиональным. И профилактикой типа чистки зубов от него не вылечиться. Свети адрес — не свети, подберут все равно. А Дуров делает вид, что это пользователи дураки, сами виноваты.

  • Ответить

    Павел, сегодня ночью, рейтинг вашей странички вконтакте упал с 56000( простите, точную цифру не помню) до 38 !!. Сегодня утром всё вернулось. Баг?

  • Ответить

    А спам приходит регулярно, из последнего: » смотри, ты становишся всё популярнее, вот твой клон *далее ссылка на стр.вконтакте*, приходит от друзей, кот. ессна ничего не отправляли, причем зачастую, от людей, чьи компы более чем надёжно защищены от троянов и т.п. А пароли не брустфорснеш,ибо много(от 30 символов ) букв, цифр и знаков, не словарные.

  • Ответить
    Alex Kruglov ВКонтакте

    у меня 300 друзей. Спама приходит меньше одного сообщения в неделю. Все случаи явные фишинговые взломы. Меня «ломали» два раза, оба раза виноват был я сам. На моей памяти не было ещё ни одного случая когда какой либо аккаунт начинал рассылать спам без предварительной «помощи» самого хозяина (помощи=захода на левые сайты, сообщение своего пароля и тд).

  • Ответить

    На самом деле не стоит травить ВКонтакте, они молодые. В своё время Мфло тоже было безбожно дырявое, даже письмо можно было послать и увести пароль. Сядут, делают и починят. Лучше пожелаем им удачи, молодым и крупным всегда достаётся.

  • Ответить

    И то верно. Но их никто не травит. Вообще очень полезный, многофункциональный ресурс. И им стоит сказать искреннее спасибо, в конце концов, куча халявных функций. Фактов, оспаривать то, что это только фишинговые взломы, у меня нет. Меня не удивляет, когда приходит спам от «одноклассницы Маши», а вот спам от кодера, параноидально зацикленного на своей безопасности, немного напрягает. Но, как грицца, работающему коду в камменты не смотрят.

  • Ответить

    Павел, в ночь с 28 на 29 апреля , рейтинг вашей странички вконтакте упал с 56000( простите, точную цифру не помню) до 38 !!.Утром всё вернулось. Баг?

  • Ответить
    Альтер Эго

    Решил все-таки посмотреть как там куки сделаны. В общем для авторизации ВКонтакте достаточно 3 кук — remixmid (id пользователя), remixemail (любая! непустая строка) и remixpass (md5 от пароля) То есть нет вообще никакой куки уникальной для сессии! достаточно один раз перехватить куки и можете заходить сколько хотите. Тихий ужас, не ожидал такого. Кстати md5 ломается на ура через rainbow tables и если перехватили ваши куки, то с достаточно высокой вероятностью можно восстановить исходный пароль, который может подойдет и к вашей почте ;)

  • Ответить

    А если вставить нулевой фрейм на своем сайте и раместить там javascript, который будет редиректить на страницу отправки ВКонтакте, то все еще проще. То есть берете свой сайт, вставляете туда это и любой ваш посетитель, у которого не закрыта сессия ВКонтакте (другими словами кто не отлогинился) отправит ваш спам от себя. И никаких тут снифферов не нужно.

  • Ответить

    Так что для спама ВКонтакте не надо ничего перехватывать и не нужны фишинговые сайты и трояны, и спаммеры со сниффером на проксе у провайдера тоже не причем ;)

  • Ответить
    Альтер Эго

    Вообще-то там для отправки сообщения надо передать хеш из формы отправки. Вы умеете загружать в iframe’е страницы и парсить их?

  • Ответить
    Альтер Эго

    В «Одноклассниках» похожий баг вполне себе тиражируем — еще с начала прошлого года, побороли в итоге. Любой массовый сервис, даже не связанный с деньгами, должен делать выбор: или вкладывать большие ресурсы в безопасность или вводить массу ограничений для пользователей. Если на банковских сервисах «монетизирующихся» напрямую, движутся по пути ограничения времени жизни сессии, то на коммуникационных сервисах такая паранойя не будет понята пользователями — все разбегутся. А для столь массового сервиса даже доли процентов пойманных юзеров, отправивших SMS в поддержку друзей обеспечивают доход мошенникам

  • Ответить
    Альтер Эго

    Не совсем понятен кому вопрос, если про куки, то я сделал так – залогинился на сайт, посмотрел куки снифером, потом вставил их в minibrowser. Там среди кук есть и кука сессии, но она оказывается не обязательна! o_O достаточно иметь remixmid, remixemail, remixpass которые от сессии к сессии не меняются. То есть даже отлогинивание не спасет – если один раз ваши куки перехватили, то смогут зайти к вам когда захотят.

  • Ответить
    Альтер Эго

    Текущая ситуация практически аналогична тому, как если бы ВКонтакте хранил у вас пароль от сайта в куках. Странно все это выглядит, какие-то детские ошибки.

  • Ответить

    http://habrahabr.ru/blogs/infosecurity/62283/ … после процедуры поиска текст запроса выводится обратно пользователю … в строку запроса внедряется Javascript-код … Про эту дыру пишут с февраля, минимум. Надо проверить все свои поисковые скрипты, и, вообще, все скрипты, в которых есть текстовые поля, заполняемые пользователем.

  • Ответить

    iseg Про «эту дыру» могли писать с февраля только ясновидящие, так как новая система поиска (gsearch), на которой она основана, существует меньше месяца. Сама правка к gsearch.php, которая сделала это возможным, существует и того меньше.

  • Ответить

    куки уносили по описанной схеме. а конкретный скрипт не так важен, имхо. не было никаких фишинговых сайтов. не было никаких одинаковых паролей. вот что важно

  • Ответить

    iseg Это да, фишинговых сайтов не существует в природе. И одинаковые пароли тоже люди никогда не используют. Если серьезно, активные XSS видны сразу же на клиентской стороне и о них всегда своевременно сообщают в той или иной форме. Но даже те несколько дней, в течение которых работала эта дырка, пользователи, которые следовали нашему совету не открывать ссылки на незнакомые сайты, оставались в полной безопасности. Открываете подозрительную дрянь — принимайте последствия. Активных XSS за почти 3 года истории ВКонтакте было не больше трех, каждая жила не больше пары недель. А на более «безопасных» по мнению российских гиков ресурсах такие дыры находят грозьдями http://blogs.zdnet.com/security/?p=2308

  • Ответить

    Виной 95% взломов является сам взломаный. durov >Активных XSS за почти 3 года истории ВКонтакте было не больше трех… И пострадало от них столько людей, сколько обычно пишут в техподдержку с просьбой помочь зайти на страницу за 3 дня. Так что это капля в море. (Кто не читал — пример взлома ящика специалиста по it-безопасности крупной международной компании: http://tema.livejournal.com/327694.html?thread=147982606#t147982606.)

  • Ответить

    Дурову: >Месяц назад, например, был слив паролей с сайта free-lance.ru, были и другие. За других не скажу, а за free-lance.ru — отвечу. Павел, не вам ли знать, что то, что написано кем-то на хабре или еще где-либо, не есть истина? Спасибо. Воропаев.