| Ormianin |
06.02.2003 19:11 |
Cytat:
Mr.Manson napisa***322;(a)
dobre :o
|
Ta ja dzis przeczytalem to:
Dzięki Arturowi Poczekalewiczowi wiadomo już jak zostały wykradzione hasła Gadu-Gadu, opublikowane na serwisie Interceptor. Wraz z Marcinem Bukowskim odkryli oni dziurę w skryptach ASP na serwerze firmy obsługującej GG. Elementarny błąd umożliwiał łatwe pobieranie z bazy hasła oraz adresu email dowolnego użytkownika o znanym UID. Wybierając kolejne lub losowe UID można było oglądać hasła przypadkowych użytkowników Gadu-Gadu. Odkrywcy poinformowali o tym firmę, która jednak początkowo zignorowała błąd, by bez słowa poprawić go po 10 dniach. W tym czasie błąd został jednak odkryty przez innych, którzy zdobyte w ten sposób informacje zaczęli wykorzystywać do podszywania się pod dowolnych użytkowników Gadu-Gadu. Po fali nadużyć operator zalecił użytkownikom zmianę hasła ,,ze względów bezpieczeństwa''. Jak wyjaśnia Tomasz Słodkowicz, rozwiązanie to ma również swoje wady, ponieważ GG nie doczekało się jeszcze żadnej ochrony poufności przesyłanych danych podczas operacji na bazie (np. zmiana hasła), pomimo że samo logowanie użytkownika nie naraża go już na podsłuchanie hasła. Próby tuszowania własnych błędów oraz brak silnej ochrony poufności w protokole sugeruje, że operator GG nie nauczył się niczego na błędach swoich poprzedników. |
