Учимся не терять деньги в сети.
Пятница, 10 октября 2008
Сегодня я хотел бы рассказать как люди теряют свои деньги в сети по своей собственной глупости, неосторожности, лени (нужное подчеркнуть). Так как я немного знаком с основами взлома веб приложений, я решил исследовать один портал на предмет наличия уязвимостей в нём. Через некоторое время была найдена уязвимость класса sql injection. Эта уязвимость позволяет читать записи из базы данных, которую использует портал. Я так и сделал - прочитал её. К моему удивлению портал хранил пароли зарегистрированных пользователей в открытом виде. Программисты, которые создавали этот проект мало того что допустили банальную ошибку внедрения произвольных SQL запросов, да к тому же ещё и не шифровали пароли хотя бы банальным алгоритмом MD5. Вместе с логинами и паролями в базе данных содержались ещё и e-mail адреса. Я отобрал те из них, которые принадлежали к бесплатным почтовым сервисам имеющие доступ к почтовому ящику через веб интерфейс. Среди них достаточноаспространённые и всем известные порталы - это gmail.com, mail.ru, yandex.ru,
rambler.ru, ukr.net итд. Я последовательно перебрал все акаунты. В качестве логина подставлял те, которые пользователи зарегистрировали на уязвимом портале и соответственно те же пароли. Около 60% логинов совпадали с почтовыми логинами. Но что больше всего меня поразило, дак это то, что добрая половина паролей подходила к учётной записи почтового ящика. Вот так вот. А теперь самое страшное, как же уходят деньги? Думаю всем знаком сервис Яндекса - Яндекс.Деньги. Аутентификационные данные к почтовому ящику подходят и к сервису Яндекс.Деньги. То есть можно узнать, есть ли у человека денежные средства на этом акаунте. Из всех что мне удалось подобрать, у двух были средства. На одном небольшая сумма, а вот на другом очень даже внушительная. Единственное препятствие для хищения средств с одного счёта на другой - это ещё один пароль, который как ни странно оказался таким же. Сам сервис Яндекс.Деньги предупреждает пользователей, чтобы они не делали второй пароль таким же как и основной, но этот пользователь (как потом я выяснил это была женщина) пренебрёг этим предостережением. Я мог бы перевести все эти средства на другой кошелёк, либо оплатить любые услуги, которые принимают Яндекс.Деньги, но так как я не занимаюсь криминалом, я написал анонимное письмо владелице этого почтового ящика, о том как я попал в учётную запись её акаунта и с рекомендациями сменить пароли. Через некоторое время пароли были сменены. Так же можно было проверить сервис Яндекс.Директ на предмет наличия средств, но я этого уже не делал. Если бы они там оказались, то на чужие деньги можно провести какую-либо рекламную компанию. Так же средства можно потерять и с учётной записи gmail.com. Google AdWords - это аналог Яндекс.Директ предназначенный для проведения рекламных компаний. Аутентификационные данные к почтовому ящику gmail.com те же что и для Google AdWords. Что же необходимо делать, что бы не терять деньги в сети? Первое: это не относиться так халатно к хранению своих паролей и уж тем более не вводить их на сомнительных порталах. Второе: пароли к виртуальным деньгам НИКОГДА не должны совпадать с почтой, ICQ, MSN, Skype итд. Третье: слудет хотя бы раз в месяц менять пароли к Вашим учётным записям. Эти три простые правила помогу сохранить вам ваши средства в целости и сохранности.
Ну а что бы всё не казалось таким печальным в завершение предлагаю взглянуть на этот замечательный мультфильм, который несомненно поднимет настроение всем.
