В рекламной крутилке Mail.ru обнаружилась "дырка", которая позволяет использовать ее для маскировки мошеннических сайтов, предназначенных для кражи персональных данных пользователей (фишинга).
Суть уязвимости заключается в следующем:крутилка Mail.ru, осуществляющая подсчет числа переходов, выполняет перенаправление посетителей на адрес рекламодателя без проверки наличия в системе рекламодателя, оплатившего переход на определенную страницу.
В результате этого фишер может послать жертве письмо с предложением перейти по адресу вида http://r.mail.ru/cln2863/roem.ru, в результате чего будет осуществлен переход на сайт Roem.ru или любой другой, адрес которого будет указан.
После того, как жертва отреагировав на волшебные буквы Mail.ru в начале URL перешла по ссылке, ее, как обычно, берут на испуг требованиями, как можно быстрее поделиться своим паролем, чтобы не произошло чего-нибудь непоправимого.
В принципе, пользователи, попавшиеся на такую уловку - сами себе злобные Буратины. Однако зачем давать фишерам инструмент для повышения эффективности их мошеннических писем - не совсем понятно.
Очевидно, что более всего от такой функциональности рекламного движка в первую очередь пострадают пользователи как раз самого Mail.ru, однако эту дыру могут использовать и для получения паролей от других сервисов, представляясь, под благовидными предлогами, админами Mail.ru.
Ааааа! Это страшная дырка! Мы все умрём!