Когда Ytro.ru уберёт базу подписчиков из публичного доступа?

По адресу www.utro.ru/subscribe (убрали, спасибо - Roem.ru) выложена в открытый доступ база подписчиков сайта из десятков тысяч email адресов с 2002 года. Сайт входит в топ-20 посещаемых сайтов раздела "Новости и СМИ" по статистике LI.

Неоднократные попытки донести эту информацию до владельцев сайта не увенчались успехом: email сайта utro@utro.ru переполнен, технический директор Роман Корнеев игнорирует сообщения, а по телефону редакции +7 (499) 4264611 сказали что они такими вопросами не занимаются.

Если у вас есть выход на людей, занимающихся этим сайтом, пожалуйста, донесите до них эту информацию.

Комментарий Roem.ru: доносим как можем.

Лучшие комментарии

  • Контекст комментария

    aoyagi

    Вообще-то по данному тайному адресу (найти который можно за 5 секунд в Google, т.к. он не закрыт в robots.txt и все email’ы в поисковом индексе) похоже не список адресов, а отчеты о неправильных адресах email, на которые не удалось ничего доставить. На мысли об этом наводит большое число однотипных записей со стандартным значением поля «ваш email», а также всевозможные попытки эксплуатировать SQL Injection и другие типы уязвимостей. Не думаю, что логи ошибочных email-ов в паблике — это прямо уж так опасно и серьезно, и уж точно это никак не задевает актуальные частные данные пользователей, но это активная XSS — user input на данной странице не фильтруется, можно хоть сейчас подписаться на рассылку с адресом, содержащим нужный нам JavaScript (и некие умельцы уже провернули это несколько раз), и при переходе на данную страницу этот код выполнится. Разработчики, конечно, отморозили, дважды: сначала реализовав поле email без какой-либо валидации и чистки, а затем разместив эти логи в паблике. В общем, всякому начинающему безопаснику рекоммендую для общего развития найти и скачать этот файл, чтобы посмотреть, что обычно пытаются скормить любым формам любого более-мене популярного сайта, и как делать не надо.

Добавить 6 комментариев

  • Ответить

    Вообще-то по данному тайному адресу (найти который можно за 5 секунд в Google, т.к. он не закрыт в robots.txt и все email’ы в поисковом индексе) похоже не список адресов, а отчеты о неправильных адресах email, на которые не удалось ничего доставить. На мысли об этом наводит большое число однотипных записей со стандартным значением поля «ваш email», а также всевозможные попытки эксплуатировать SQL Injection и другие типы уязвимостей. Не думаю, что логи ошибочных email-ов в паблике — это прямо уж так опасно и серьезно, и уж точно это никак не задевает актуальные частные данные пользователей, но это активная XSS — user input на данной странице не фильтруется, можно хоть сейчас подписаться на рассылку с адресом, содержащим нужный нам JavaScript (и некие умельцы уже провернули это несколько раз), и при переходе на данную страницу этот код выполнится. Разработчики, конечно, отморозили, дважды: сначала реализовав поле email без какой-либо валидации и чистки, а затем разместив эти логи в паблике. В общем, всякому начинающему безопаснику рекоммендую для общего развития найти и скачать этот файл, чтобы посмотреть, что обычно пытаются скормить любым формам любого более-мене популярного сайта, и как делать не надо.

  • Ответить

    Мелкий лист, валидных адресов что-то около 17k (дальше треш). После 2006 этот функционал, судя по всему, не использовался. [mail.ru] => 5203 [yandex.ru] => 1440 [rambler.ru] => 1158 [list.ru] => 613 [yahoo.com] => 456 [inbox.ru] => 393 [bk.ru] => 367 [pochta.ru] => 260 [hotmail.com] => 222 [ukr.net] => 155 Gmail, заметьте, в топ10 не попал, его там кот наплакал(что еще раз подтверждает “актуальность” листа). Но анонимуса, конечно, уважить надо (да и порядок на сервере навести).