Почему с аттачами нужно быть осторожнее?

Суббота, 6 августа 2011 г.
Рубрика: Новости
Просмотров: 710
Подписаться на комментарии по RSS

Теория

Пусть имеем номер 123456 с установленным аттачем 1@mail.ru. Мы меняем аттач на 2@mail.ru, при этом на 2@mail.ru приходит ссылка с подтверждением, что мол, да, я действительно хочу сменить аттач. После перехода по этой ссылке на предыдущий аттач приходит ссылка, по которой можно сменить пароль. Собственно эта ссылка и есть главный гарант безопасности вашего номера, даже если кто-то сможет подобрать пароль от вашего номера, то при попытке изменить привязанную почту, на вашу старую почту придет ссылка, по которой вы сможете вернуть себе номер. Отсюда получается, что для потери icq аккаунта злоумышленнику необходимо выполнение 3 условий:

-сменить пароль

-сменить почту

-каким-то образом удалить ссылку, пришедшую на предыдущую почту

Но ведь можно привязать еще сколько угодно аттачей. Тут дело обстоит так: при каждой привязке новой почты, на нее приходит ссылка с подтверждением, после подтверждения на ПРЕДЫДУЩИЙ аттач приходит ссылка, по которой можно сменить пароль. Но при переходе по ней и смене пароля к номеру оказывается привязан ПЕРВЫЙ аттач.

Для примера пусть мы имели номер 123456 с мылом 1@mail.ru и последовательно привязали еще 3 мыла 2@mail.ru,3@mail.ru,4@mail.ru, при этом у нас на ящиках 1@mail.ru,2@mail.ru,3@mail.ru окажется по 1 ссылке для возврата номера, НО при переходе по ЛЮБОЙ из них аттачем становится самый первый аттач 1@mail.ru.

Теперь вопрос, а как узнать у номера этот самый первый аттач? Пусть мы купили номер 123456 с почтой 3@mail.ru, но эта почта не есть главный аттач, главный 1@mail.ru

и он остался у продавца. А на нем ссылка, по которой продавец всегда(ну 20 дней она точно живет, проверено) может вернуть номер. ЭТО И ЕСТЬ ГЛАВНАЯ ОПАСНОСТЬ. Так вот, чтобы узнать первоначальный, главный аттач, нужно привязать еще одну почту, подтвердить её, и на аттач, в нашем примере 3@mail.ru придет ссылка для возврата, переходим по этой ссылке и на странице будет надпись вроде

"Теперь вы можете входить в ICQ с вашим адресом 1@mail.ru и новым паролем"

то есть настоящий аттач 1@mail.ru.

Практика

Теперь самое интересное, покажем как возможен кидок. Допустим у меня имеется номер 123456 и аттач от этого номера 1@mail.ru. И я хочу кинуть человека при продаже этого номера. Что я делаю?

Привязываю новую почту 2@mail.ru и отдаю ее вместе с номером покупателю, покупатель меняет пароль на номере, меняет пароль на этой 2@mail.ru почте и радуется покупке. Но ведь при привязке почты 2@mail.ru на предыдущий ящик 1@mail.ru пришла ссылка для возврата номера. Перехожу по ней, меняю пароль и аттачем автоматом становится первая почта 1@mail.ru. Все, кидок готов.

Чтобы его избежать покупатель номера с аттачем должен привязать свою почту 3@mail.ru, после чего на 2@mail.ru придет ссыль для смены пасса, сменить пасс и посмотреть, а является ли почта, шедшая вместе с номером, первоначальным аттачем. Если она не совпадает, есть риск, что продавец вернет себе номер.

Ну и исходя из всего вышенаписанного хочется сказать:

"Граждане, будьте бдительны, покупайте номера только у проверенных людей. Враг не дремлет!"

Удачи всем!

© asechka.ru