Об уязвимости в ICQ сообщил рано утром в субботу блогер, пишущий на LiveJournal под именем ntv. Раньше, когда один пользователь «аськи» пересылал другому файл, их клиенты соединялись напрямую через интернет, пишет он. Сейчас же при пересылке файла сам файл закачивается на сервера, принадлежащие Mail.RU, а получателю отправляется только ссылка на него с видом http://files.icq.net/files/get?fileId=XXXXXX, где XXXXXX – это набор букв и цифр, указывающих на файл.
Скачать конкретный файл можно, только в точности зная эту последовательность. Однако файлы по «аське» пересылают миллионы людей, и даже указывая случайные комбинации, можно легко получить доступ к файлам случайных пользователей.
В выходные в интернете появилась специальная программа (java-скрипт), позволяющая скачать из «аськи» все файлы подряд. Результат часовой работы скрипта – полтора гигабайта фотографий.
Блогер опубликовал лишь несколько десятков из них, но наиболее характерных для пользователей ICQ. Среди них – фотографии с различных вечеринок, отсканированные транспортные накладные и прочие рабочие документы, интимные фотографии, которых оказалось особенно много. А также тысячи сканов паспортов.
Пользователь приводит лишь два из них, один из которых выдан отделением УФМС РФ по Кабанскому району. Попавший в публичный доступ документ, удостоверяющий личность, принадлежит уроженке села Нижний Торей Джидинского района Бурятии.
Впрочем, фамилию и глаза самой женщины блогер замазал. Так же как и все компрометирующие детали на выложенных фотографиях пользователей «аськи».
Известный российский эксперт в области мобильной связи, компьютеров и интернета Эльдар Муртазин уже сообщил на своём сайте, что уже есть множество архивов, которые распространяют информацию ICQ по сети. Приводит Муртазин и конкретную ссылку на торрент.
- Это, в принципе, не удивительно так как команда разработки мейл.ру, которая отвечает за ICQ уже отметилась в прошлом воровством чужих кодов, на чем их ловили за руку. Теперь сервис всего лишь отметился в том, что им наплевать на безопасность пользователей и это ведь только начало. Сколько дырок существует в самой почте мейл.ру никому неизвестно. Те, кто имеет к ним доступ не светят эти дырки, так как вполне успешно эксплуатируют их в своих интересах.
Какой вывод можно сделать? Хотите, чтобы в один прекрасный день ваши документы, письма, другая информация, стали доступны неограниченному числу лиц, то пользуйтесь услугами нашего интернет-автоваза, он вам это обеспечит, - заключает эксперт.
Между тем, по данным газеты «Ведомости», скрипт, действия которого блокировала Mail.ru Group, мог скачать лишь файлы, пересланные через ICQ недавно: они хранятся на сервере ограниченное время, а затем удаляются, говорит сотрудница пресс-службы Mail.ru Group. По её словам, это первый случай, когда кто-то попытался скачать эти файлы, воспользовавшись тем, что для обмена ими ICQ использовала короткие ссылки, а не такие длинные, какие генерирует, например, почта Mail.ru. Риски для пользователей ICQ она считает крайне незначительными: файлы, которые могла скачать программа, не содержат данных о том, кто и кому их пересылал. А теперь в ICQ введены такие же безопасные длинные ссылки, как и в других сервисах Mail.ru Group, говорит она.
Эксперт по информбезопасности компании «Андэк» Олег Глебов советует пользователям ICQ, пересылавшим фото, на время заблокировать от внешних просмотров свои аккаунты — прежде всего в соцсетях: получив анонимные фото, злоумышленники могут использовать средства поиска похожих изображений. А впредь он рекомендует передавать файлы в мессенджерах строго в запароленных архивах.
