Zmenili mi heslo na Seznamu

Hezký pokus. Takovýto problém jistě vyřeší technická podpora seznamu. Nemám nic proti pohádkám před spaním, ale spát půjdu až později, takže mi je zatím říkat nemusíš :-)

Anonymní
Nedal si mu to heslo náhodou ty ;-)

thingwath
Dobrú noc :-)

Doporučil bych vaší pozornosti článek na Lupě: Je náročné se dostat do cizí webmailové schránky?

DoubleThink
Sice tyto informace pravděpodobně nebude schopen zneužít, nicméně i tak by si je měl, když už chce něco takového dělat, najít vlastníma silama, nevidím důvod mu to nějak ulehčovat. Osobně bych tohle vlákno zamknul, ta jeho pohádka je zcela nedůvěryhodná a i kdyby byla, nastínil jsem vhodný způsob řešení problému.

Šance, že si nevymýšlíš je mizivá. Tento příběh má všechny předpoklady na to, abych ho považoval za smyšlený. Je to skoro učebnicový příklad oblíbených sociálních technik, ale dosti amatérský (je zacílen špatně, tady nikdo požadovanou informaci nejspíše nemá a pokud ano, určitě ji tak snadno nesdělí).

Co je zásadní, pokud jsou v seznamu nějaké bezpečnostní mezery, jakože pravděpodobně jsou, tak má seznam jistě snahu bezpečnost zajistit a pak, pokud někdo mezeru objeví, tak má o bezpečnosti jisté povědomí, dostačující na to, aby si uvědomil, že příběh je smyšlený a lehce nereálný.

...a pak tam byl slon a ten lítal...

Řeknu ti to takhle: pokoušel jsem se proniknout do cizí pošty koncem roku 2003 ještě JAKO ZAMĚSTANEC SEZNAMU. Nepodařilo se mi to.

1. neúspěšná metoda
Klasická metoda je poslat napadenému uživateli přílohu, která obsahuje odkaz na můj server. Prokliky z normálních mailů jsou samozřejmě redirectované, ale pokud si uživatel z webovky otevřel přílohu, tak tam se ještě odkazy neredirectovaly, takže jsem mohl v logu (pokud by si uživatel kliknul) vidět referrera se session ID. Nyní je ta chyba odstraněna, ale tenkrát to tuším ještě šlo (neberte mě za slovo, co se týká konkrétního data útoku).

Jenomže session ID je vázáno na IP adresu a rychle vyprší. Musel bych tedy sedět na stejné vnitřní síti, jako seděl napadený.

2. neúspěšná metoda
Ani jako kodér ani jako projektový manažer jsem na Seznamu neměl přístup na ostré servery, kde leží databáze uživatelů. Moc jsem kluky svými útoky netrápil, ale do ostré databáze jsem se nedostal ani testovací aplikací, z CVS jsem hesla pro připojení k ostré databázi také nevysochal, nejsou tam. Znají je (možná) admini a spravují je na úrovni konfiguráků, která je od programátorů oddělená.



V praxi bych na proniknutí do emailu použil spíše phishing nebo odposlouchávání komunikace se serverem. Pokud ten slavný "linuxák" má přístup k serveru, přes který se napadený připojuje k libovolné poště (ať už přes POP3 bez SSL nebo k přihlašovacímu webovému formuláři bez SSL), tak si tam heslo může odchytnout v paketech. Takže to se netýká jenmo Seznamu.

Phishing se kromě klasické formy dá používat i trochu záludněji tak, že si na vlastním serveru připravím co nejpodobnější kopii formuláře "vaše heslo vypršelo, přihlašte se znovu". Potom pošlu napadenému mail, který ho nějakým způsobem (třeba prostým odkazem) na tu mou stránku dostane. Uživatel heslo zadá a já ho mám.

A to se nezmiňuji o slovníkových útocích. Kolem roku 2002 jsem se bavil pročítáním mailů, které používaly stejné heslo jako přihlašovací jméno.

> Vyuzil chyby, kterou maji pry prakticky vsechny free emaily

nejenom free emaily, tu chybu mají prostě všechny emaily

Jediné řešení je vybírat a odesílat poštu přes SSL.

To je vlastnost poštovních protokolů. Hesla jsou v plaintextu a když to člověk dokáže zachytit (což pochopitelně znamená být někde na trase), tak není nejmenší problém to přečíst.

Na seznamu jde použít SSL?