Блоггер обнаружил уязвимость в сервисе ICQ

Все файлы пользователей ICQ, которые те передавали в своих сообщениях, до утра сегодняшнего дня можно было свободно скачать с сервера ICQ по адресу http://files.icq.net/files/get?fileId=XXXXXX , где XXXXXX – название файла, состоящее из заглавных букв и цифр. Об этом сообщил в своем ЖЖ блоггер под ником ntv.

Уже в выходные в интернете появился специальный java-скрипт, позволяющий выкачивать все файлы подряд. Для примера блоггер выложил на своей странице результаты часовой работы этого скрипта. Среди обнаруженных на сервере файлов оказались личные фотографии пользователей (в том числе довольно компрометирующие), копии различных документов, сканы паспортов и т.д.

Как сообщает ресурс SecurityLab, администрация компании Mail.ru Group, которой с апреля 2010 года принадлежит инстант-мессенджер ICQ, довольно оперативно отреагировала на появление приватной информации пользователей в публичном доступе и закрыла доступ к домену files.icq.net. При этом файлы еще оставались доступными некоторое время через домен files.mail.ru.

Скрипт, действия которого блокировала Mail.ru Group, мог скачать лишь файлы, пересланные через ICQ недавно: они хранятся на сервере ограниченное время, а затем удаляются, пояснила «Ведомостям» сотрудница пресс-службы Mail.ru Group. По ее словам, это первый случай, когда кто-то попытался скачать эти файлы, воспользовавшись тем, что для обмена ими ICQ использовала короткие ссылки, а не такие длинные, какие генерирует, например, почта Mail.ru. Риски для пользователей ICQ она считает крайне незначительными: файлы, которые могла скачать программа, не содержат данных о том, кто и кому их пересылал. А теперь в ICQ введены такие же безопасные длинные ссылки, как и в других сервисах Mail.ru Group.

Журналист, новостной редактор, работает на сайте с 2009 года. Специализация: интернет-маркетинг, SEO, поисковые системы, обзоры профильных мероприятий, отраслевые новости рунета. Языки: румынский, испанский. Кредо: Арфы нет, возьмите бубен.