Глупые ошибки ICQ 2. Продолжение банкета. - ICQ

**alkos** · 22.05.2013, 22:27

Итак, майские праздники позади и администрация ICQ всерьез продолжила заниматься прикрытием багов в своем сервисе, что не может не радовать. Так в понедельник 13 мая был пофиксен еще один способ менять пароли на шестизнаках. А уже через два дня был закрыт доступ в админку сервиса lifestream.icq.com! Именно о последней "баге" собственно и пойдет речь.

Доступ в админку был поистине смешным: http://lstreamfeweb.evip.icq.com/admin. В других случаях доступ ограничен паролем и ip-авторизацией, но тут почему-то отсутствовало и то и другое. Любой желающий мог пройти по ссылке и посетить админскую панель управления. :) Сама панель содержала обильное количество функций для управления в первую очередь лайфстримом, каналами пользователей, привязками к youtube, twitter, facebook и т.д. Сразу хочется отметить, что доступа к критической информации, будь то пароли, электронные адреса для авторизации и привязанные номера телефонов, в панели не содержалось.

Отдельно стоит упомянуть функцию "View graph cache in memcached", которая позволяла посмотреть кэш контакт-листа от любого ICQ-уина или аккаунта AIM. Кэш судя по всему обновлялся и чистился редко, поэтому обычно он содержал 70-95% от всего контакт-листа.

Другая функция "View accountinfo stored in memcached" позволяла посмотреть привязанные к уины аккаунты гугл, твиттер и фэйсбук.

Остальные функции можно посмотреть в скриншотах. Из самых интересных это пожалуй "Delete User" и "Bind Account" :).

Также можно было управлять сервисами, подключенными к каналам пользователей в лайфстрим и представленными на карте локациями отдельных структур и аффилированных организаций.

З.Ы. Как долго бага была точно не известно, но по моим данным это длилось более чем 1.5 месяца.

З.Ы.Ы. Аналогичной админки в лайфстриме на серверах AOL не обнаружено.

**alkos** · 20.06.2014, 18:37

Несколько недель назад админка (http://lstreamfeweb.evip.icq.com/admin) вдруг вновь ожила! И админы опять накосячили - доступ в админку не фильтровался!

Вооружившись сорсами своего брута ALICE, за вечер мной был написан многопоточный граббер контакт-листов от ICQ-уинов (ICQ CL GET).

Примерно за неделю удалось собрать базу ~100 млн. аккаунтов! Затем бага была закрыта. :)

22.05.2013, 22:27	#1
alkos Модератор Регистрация: 14.01.2007 Сообщений: 555 Репутация: 1	Глупые ошибки ICQ 2. Продолжение банкета. Итак, майские праздники позади и администрация ICQ всерьез продолжила заниматься прикрытием багов в своем сервисе, что не может не радовать. Так в понедельник 13 мая был пофиксен еще один способ менять пароли на шестизнаках. А уже через два дня был закрыт доступ в админку сервиса lifestream.icq.com! Именно о последней "баге" собственно и пойдет речь. Доступ в админку был поистине смешным: http://lstreamfeweb.evip.icq.com/admin. В других случаях доступ ограничен паролем и ip-авторизацией, но тут почему-то отсутствовало и то и другое. Любой желающий мог пройти по ссылке и посетить админскую панель управления. :) Сама панель содержала обильное количество функций для управления в первую очередь лайфстримом, каналами пользователей, привязками к youtube, twitter, facebook и т.д. Сразу хочется отметить, что доступа к критической информации, будь то пароли, электронные адреса для авторизации и привязанные номера телефонов, в панели не содержалось. Отдельно стоит упомянуть функцию "View graph cache in memcached", которая позволяла посмотреть кэш контакт-листа от любого ICQ-уина или аккаунта AIM. Кэш судя по всему обновлялся и чистился редко, поэтому обычно он содержал 70-95% от всего контакт-листа. Другая функция "View accountinfo stored in memcached" позволяла посмотреть привязанные к уины аккаунты гугл, твиттер и фэйсбук. Остальные функции можно посмотреть в скриншотах. Из самых интересных это пожалуй "Delete User" и "Bind Account" :). Также можно было управлять сервисами, подключенными к каналам пользователей в лайфстрим и представленными на карте локациями отдельных структур и аффилированных организаций. З.Ы. Как долго бага была точно не известно, но по моим данным это длилось более чем 1.5 месяца. З.Ы.Ы. Аналогичной админки в лайфстриме на серверах AOL не обнаружено.

20.06.2014, 18:37	#2
alkos Модератор Регистрация: 14.01.2007 Сообщений: 555 Репутация: 1	Несколько недель назад админка (http://lstreamfeweb.evip.icq.com/admin) вдруг вновь ожила! И админы опять накосячили - доступ в админку не фильтровался! Вооружившись сорсами своего брута ALICE, за вечер мной был написан многопоточный граббер контакт-листов от ICQ-уинов (ICQ CL GET). Примерно за неделю удалось собрать базу ~100 млн. аккаунтов! Затем бага была закрыта. :)