Учимся не терять деньги в сети. | shredder05.ru shredder05.ru Разговоры об Интернет Технологиях « Компьютеры + Интернет Недобросовестная биржа ссылок » Учимся не терять деньги в сети.

Сегодня я хотел бы рассказать как люди теряют свои деньги в сети по своей собственной глупости, неосторожности, лени (нужное подчеркнуть). Так как я немного знаком с основами взлома веб приложений, я решил исследовать один портал на предмет наличия уязвимостей в нём. Через некоторое время была найдена уязвимость класса sql injection. Эта уязвимость позволяет читать записи из базы данных, которую использует портал. Я так и сделал - прочитал её. К моему удивлению портал хранил пароли зарегистрированных пользователей в открытом виде. Программисты, которые создавали этот проект мало того что допустили банальную ошибку внедрения произвольных SQL запросов, да к тому же ещё и не шифровали пароли хотя бы банальным алгоритмом MD5. Вместе с логинами и паролями в базе данных содержались ещё и e-mail адреса. Я отобрал те из них, которые принадлежали к бесплатным почтовым сервисам имеющие доступ к почтовому ящику через веб интерфейс. Среди них достаточноаспространённые и всем известные порталы - это gmail.com, mail.ru, yandex.ru,
rambler.ru, ukr.net итд. Я последовательно перебрал все акаунты. В качестве логина подставлял те, которые пользователи зарегистрировали на уязвимом портале и соответственно те же пароли. Около 60% логинов совпадали с почтовыми логинами. Но что больше всего меня поразило, дак это то, что добрая половина паролей подходила к учётной записи почтового ящика. Вот так вот. А теперь самое страшное, как же уходят деньги? Думаю всем знаком сервис Яндекса - Яндекс.Деньги. Аутентификационные данные к почтовому ящику подходят и к сервису Яндекс.Деньги. То есть можно узнать, есть ли у человека денежные средства на этом акаунте. Из всех что мне удалось подобрать, у двух были средства. На одном небольшая сумма, а вот на другом очень даже внушительная. Единственное препятствие для хищения средств с одного счёта на другой - это ещё один пароль, который как ни странно оказался таким же. Сам сервис Яндекс.Деньги предупреждает пользователей, чтобы они не делали второй пароль таким же как и основной, но этот пользователь (как потом я выяснил это была женщина) пренебрёг этим предостережением. Я мог бы перевести все эти средства на другой кошелёк, либо оплатить любые услуги, которые принимают Яндекс.Деньги, но так как я не занимаюсь криминалом, я написал анонимное письмо владелице этого почтового ящика, о том как я попал в учётную запись её акаунта и с рекомендациями сменить пароли. Через некоторое время пароли были сменены. Так же можно было проверить сервис Яндекс.Директ на предмет наличия средств, но я этого уже не делал. Если бы они там оказались, то на чужие деньги можно провести какую-либо рекламную компанию. Так же средства можно потерять и с учётной записи gmail.com. Google AdWords - это аналог Яндекс.Директ предназначенный для проведения рекламных компаний. Аутентификационные данные к почтовому ящику gmail.com те же что и для Google AdWords. Что же необходимо делать, что бы не терять деньги в сети? Первое: это не относиться так халатно к хранению своих паролей и уж тем более не вводить их на сомнительных порталах. Второе: пароли к виртуальным деньгам НИКОГДА не должны совпадать с почтой, ICQ, MSN, Skype итд. Третье: слудет хотя бы раз в месяц менять пароли к Вашим учётным записям. Эти три простые правила помогу сохранить вам ваши средства в целости и сохранности.

Ну а что бы всё не казалось таким печальным в завершение предлагаю взглянуть на этот замечательный мультфильм, который несомненно поднимет настроение всем.

Tags: , , , , , ,

3 комментария to “Учимся не терять деньги в сети.”
  1. Алёшко (1 comments) Says:
    ноября 4, 2008 at 6:06 pm

    как то занимался таким же делом, находил инъекции находил валидные мыла, отправлял письма с просьбой смены проля, но получал довольно многа мата в ответ, типа “*ые хакеры на* вам вапще эт надо”
    изза чего надоело все эт)пусть уводят сразу хакеры пусть лохи зляца и кусают се губы…

  2. vxcvxc (4 comments) Says:
    декабря 11, 2008 at 11:50 am

    Работа в Ростове-на-Дону

  3. Типаша (1 comments) Says:
    января 8, 2009 at 6:31 pm

    Музыканты в ресторан Treda.

Leave a Reply

  • shredder05.ru is proudly powered by WordPress
    Entries (RSS) and Comments (RSS).