Mesajele e-mail ale utilizatorilor vk.com sunt indexate de Yandex

[B7ackAnge7z]

VKontakte este cea mai mare re?ea de socializare din Europa, care ofer? utilizatorilor s?i adrese de e-mail de genul: username@post.vk.com ?i... multora le place acest lucru. De asemenea, mai exist? ?i un motor de c?utare Yandex — (un proiect foarte popular printre utilizatorii de limb? rus? ?i nu numai) — care de curând a început s? indexeze mesajele private ale utilizatorilor VKontakte.

Nici nu se discut? — ??tia de la VKontakte au dat-o în bar?. Cât despre Yandex — bravo lor, au mai demonstrat înc? o dat? c? motto-ul lor „G?sim totul” nu sunt doar vorbe în vânt. De men?ionat, c? la c?utarea mesajelor trebuie folosit serviciul Yandex.Blogs care indexeaz? rapid orice mesaj ap?rut pe bloguri ?i re?elele de socializare.

?i acum un mic exemplu: dac? dorim s? g?sim utilizatorii ce au primit mesaje de la Facebook introducem "@post.vk.com" facebook

Îmi cer scuze c? e în limba rus?, dar încerca?i s? folosi?i Google Translate. Dac? în câteva cuvinte — majoritatea rezultatelor ce apar acolo, sunt instruc?iunile de resetare a parolei de la contul Facebook

Iat? un mesaj în englez? care a fost indexat cu ~1 or? în urm?:

Hi Maya,

Your Facebook password was reset using the email address 48isetenosah@post.vk.com on Wednesday, May 29, 2013 at 7:54am (UTC-10).

Operating system: Windows

Browser: Chrome

IP address: 37.235.165.153

Estimated location: Tambov, TAM, RU

If you did this, you can safely disregard this email.

If you didn't do this, please secure your account at https://www.facebook.com/hacked/disavow?u=100003216670942&n=fyhvCBIN

Thanks,

The Facebook Security Team

========================================

This message was sent to 48isetenosah@post.vk.com at your request.

Facebook, Inc., Attention: Department 415, PO Box 10005, Palo Alto, CA 94303

Not?! Ceea ce vede?i mai sus, sunt date publice.

Plan de atac:

1. ?tiind c? victima are cont pe vk.com, cerem resetarea parolei pe Facebook (desigur, sperând ca victima s? fi indicat e-mailul de la vk.com)
   
2. A?ept?m ca Yandex s?-?i fac? treaba (sau îl gr?bim noi pu?in)
   

Hint:

Facebook e doar un exemplu. Yandex a g?sit ?i alte chestii interesante pe acolo.

Problem?:

Cât e de simpl? resetarea parolei unui utilizator VKontakte c?ruia „by default” i-a fost ad?ugat e-mailul username@post.vk.com?

Istorie:

• Cu ceva timp în urm?, Yandex indexase datele private ale unui magazin erotic. Astfel, toate listele de cump?r?turi ale utilizatorilor (inclusiv numerul de telefon, adresa fizic?, nume real, mesajele private ?i noti?e) au ap?rut pe net, iar ferici?ii cump?r?tori (mai ales domni?oarele) primeau sunete, SMS-uri ?i oferte foarte „interesante”.
  
• A mai fost un caz interesant, când Yandex indexase mesajele SMS trimise prin intermediul site-ului celui mai mare operator de telefonie mobil? din Rusia. Drept rezultat, mii de oameni s-au pomenit c? to?i doritorii pot afla chestii private despre via?a ?i activitatea lor, ?tiind doar num?rul de telefon.
  

Cine g?se?te, indexeaz?:

Yandex g?se?te multe chestii interesante, deoarece bot-ul lor trimite request-uri de tip POST + compania dezvolt? diverse toolbar-uri ?i aplica?ii (inclusiv un Browser pe platforma Webkit), care (conform regulamentului pe care nu-l cite?te nimeni) au dreptul s? trimit? adresele URL vizitate c?tre serverul acestei companii. Cu toate acestea, Yandex nici pe departe nu se compar? cu SHODAN.