Information Security
29 January 2010

Ограбление по-дилетантски-2 или о том, как Mail.ru хранит пароли

Добрый вечер Хабр! Сегодня пятница, и я снова в эфире!
Этот топик не будет отличаться оригинальностью, и в нем я снова буду сыпать соль на раны клиентам бесплатных почтовых служб. В комментариях к моему предыдущему топику «Ограбление по-дилетантски или о том, как Яндекс хранит пароли» bar_boss указал, что Mail.ru так же не отличается заботой о защите пользовательских учетных данных. Я решил проверить, и вот результат — та же самая уязвимость во всей красе. Пользователи Майл.ру, привет! Говорить о неповоротливости службы поддержки Майла, в отличие от аналогичной службы у Яндекса, можно часами. Делаем ставки, как долго указаная уязвимость не будет закрыта…

UPD Сапорт Mail.ru все-таки читает Хабр, спустя сутки, уязвимость кажется уже справлена.
UPD2 А RNZ предположительно нашел другой случай передачи паролей открытым текстом.


Все просто как в детской считалке:
1.


2.


3.


4.


5. Заглядываем в исходный код страницы, все как на ладони!


Они и не подумали прикрыть незащищенную задницу пользователя хотябы https, как и в случае с Яндексом. Последний тем временем все у себя уже исправил.
Пользователи бесплатных почтовых ящиков все еще надеятся, что их данные надежно защищены? Еще как!

+58
18.1k 16
Support the author
Comments 93
Top of the day