Dzięki Arturowi Poczekalewiczowi wiadomo już jak zostały wykradzione hasła
Gadu-Gadu, opublikowane na serwisie
http://www.interceptor.g3.pl/gg/gg.htm -
Interceptor. Wraz z Marcinem Bukowskim odkryli oni dziurę w skryptach ASP na
serwerze firmy obsługującej GG. Elementarny błąd umożliwiał łatwe pobieranie z
bazy hasła oraz adresu email dowolnego użytkownika o znanym UID. Wybierając
kolejne lub losowe UID można było oglądać hasła przypadkowych użytkowników
Gadu-Gadu. Odkrywcy poinformowali o tym firmę, która jednak początkowo
zignorowała błąd, by bez słowa poprawić go po 10 dniach. W tym czasie błąd
został jednak odkryty przez innych, którzy zdobyte w ten sposób informacje
zaczęli wykorzystywać do podszywania się pod dowolnych użytkowników Gadu-Gadu.
Po fali nadużyć operator zalecił użytkownikom zmianę hasła ,,ze względów
bezpieczeństwa´´. Jak wyjaśnia Tomasz Słodkowicz, rozwiązanie to ma również
swoje wady, ponieważ GG nie doczekało się jeszcze żadnej ochrony poufności
przesyłanych danych podczas operacji na bazie (np. zmiana hasła), pomimo że samo
logowanie użytkownika nie naraża go już na podsłuchanie hasła. Próby tuszowania
własnych błędów oraz brak silnej ochrony poufności w protokole sugeruje, że
operator GG nie nauczył się niczego na błędach swoich poprzedników.