Uwaga na pocztę Tlen.pl i o2.pl! Strona główna Aktualności14.03.2006 13:11 Udostępnij: O autorze Redakcja Jeden z naszych Czytelników (PXR) poinformował nas o niebezpiecznej luce w zabezpieczeniach dostępu do poczty Tlen.pl (funkcjonującej także w domenach o2.pl i go2.pl). Mimo tego, że poinformował on portal o wykrytej nieprawidłowości, wciąż nie uzyskał odpowiedzi, a dostęp do poczty użytkowników tlen.pl (i bliźniaczych) stoi przed każdym otworem. Każdy w bardzo prosty sposób, bez potrzeby stosowania jakichkolwiek dodatkowych narzędzi, nie dysponując nawet praktycznie żadną wiedzą może dokonać zmiany hasła w dowolnym koncie e-mail z "grupy tlen". Oczywiście po zmianie hasła intruz uzyskuje pełny dostęp do atakowanej skrzynki. Jedyną trudnością jaką napotka osoba próbująca skorzystać z cudzego konta jest konieczność podania daty urodzenia właściciela pechowej skrzynki. Naturalnie, nie jest to jednak poważny problem, zwłaszcza jeśli zna ona swoją ofiarę lub gdy login zawiera cyfry określające tą datę. Z oczywistych powodów nie podajemy szczegółów przeprowadzenia tej operacji zaręczamy jednak, że włamanie nie nastręcza żadnych kłopotów - co własnoręcznie wypróbowaliśmy... Miejmy nadzieję, że Tlen.pl w końcu zajmie się tym problemem, na razie posiadacze wymienionych skrzynek powinni chyba się zastanowić czy napewno nie przechowują w nich szczególnie poufnych informacji, należy również pamiętać że intruz wykorzystujący lukę może przesyłać maile podszywając się pod właściciela. Uaktualnienie, 14.03.2006, 13:52 Informujemy, że luka została załatana, nie ma możliwości włamania się do kont użytkowników na zasadach, o których pisaliśmy. Możemy więc zakładać, że bez ryzyka można obecnie korzystać z poczty o2.pl. Biorąc pod uwagę, że przeoczenie zostało naprawione, przedstawiamy zasadę działania. 1. Logujemy się na swoje konto. 2. W opcjach konta klikamy w odnośnik "Zmień pytanie i odpowiedź". 3. W oknie które się pojawiło, należy podać login i hasło. 4. My jednak podajemy tylko login i klikamy dalej. 5. W kolejnym oknie zostajemy poinformowani jakie użytkownik wpisał "pytanie i odpowiedź" potrzebne do zmiany hasła. 6. Teraz nie pozostaje nam nic innego jak wejść na podstronę służącą do zmiany hasła, podać login, podać pytanie i odpowiedź (które uzyskaliśmy we wcześniejszych punktach) i trafić z datą urodzenia. 7. Jeśli wszystko poszło gładko, możemy zalogować się na skrzynkę ofiary. Jak już pisaliśmy wcześniej, luka została załatana więc sprawdzanie schematu nie przyniesie spodziewanych efektów. Udostępnij: © dobreprogramy Zgłoś błąd w publikacji Zobacz także Wyciek danych z wypożyczalni samochodów 99rent.pl – wśród nich numery dowodów i PESEL 4 sie Oskar Ziomek Internet Bezpieczeństwo TechMoto 49 nazwa.pl odświeża jeden z ciekawszych programów partnerskich na rynku hostingowym 2 wrz Maciej Olanicki Oprogramowanie Sprzęt Internet Biznes 89 Paweł Pilarczyk, założyciel PCLab.pl: "Apelowałem do czytelników, by nie blokowali reklam" (wywiad) 29 cze Piotr Urbaniak Internet Biznes 235 BLIK jest już dostępny dla klientów Cinkciarz.pl 26 lut Materiał prasowy Oprogramowanie Internet Biznes 0
Udostępnij: O autorze Redakcja Jeden z naszych Czytelników (PXR) poinformował nas o niebezpiecznej luce w zabezpieczeniach dostępu do poczty Tlen.pl (funkcjonującej także w domenach o2.pl i go2.pl). Mimo tego, że poinformował on portal o wykrytej nieprawidłowości, wciąż nie uzyskał odpowiedzi, a dostęp do poczty użytkowników tlen.pl (i bliźniaczych) stoi przed każdym otworem. Każdy w bardzo prosty sposób, bez potrzeby stosowania jakichkolwiek dodatkowych narzędzi, nie dysponując nawet praktycznie żadną wiedzą może dokonać zmiany hasła w dowolnym koncie e-mail z "grupy tlen". Oczywiście po zmianie hasła intruz uzyskuje pełny dostęp do atakowanej skrzynki. Jedyną trudnością jaką napotka osoba próbująca skorzystać z cudzego konta jest konieczność podania daty urodzenia właściciela pechowej skrzynki. Naturalnie, nie jest to jednak poważny problem, zwłaszcza jeśli zna ona swoją ofiarę lub gdy login zawiera cyfry określające tą datę. Z oczywistych powodów nie podajemy szczegółów przeprowadzenia tej operacji zaręczamy jednak, że włamanie nie nastręcza żadnych kłopotów - co własnoręcznie wypróbowaliśmy... Miejmy nadzieję, że Tlen.pl w końcu zajmie się tym problemem, na razie posiadacze wymienionych skrzynek powinni chyba się zastanowić czy napewno nie przechowują w nich szczególnie poufnych informacji, należy również pamiętać że intruz wykorzystujący lukę może przesyłać maile podszywając się pod właściciela. Uaktualnienie, 14.03.2006, 13:52 Informujemy, że luka została załatana, nie ma możliwości włamania się do kont użytkowników na zasadach, o których pisaliśmy. Możemy więc zakładać, że bez ryzyka można obecnie korzystać z poczty o2.pl. Biorąc pod uwagę, że przeoczenie zostało naprawione, przedstawiamy zasadę działania. 1. Logujemy się na swoje konto. 2. W opcjach konta klikamy w odnośnik "Zmień pytanie i odpowiedź". 3. W oknie które się pojawiło, należy podać login i hasło. 4. My jednak podajemy tylko login i klikamy dalej. 5. W kolejnym oknie zostajemy poinformowani jakie użytkownik wpisał "pytanie i odpowiedź" potrzebne do zmiany hasła. 6. Teraz nie pozostaje nam nic innego jak wejść na podstronę służącą do zmiany hasła, podać login, podać pytanie i odpowiedź (które uzyskaliśmy we wcześniejszych punktach) i trafić z datą urodzenia. 7. Jeśli wszystko poszło gładko, możemy zalogować się na skrzynkę ofiary. Jak już pisaliśmy wcześniej, luka została załatana więc sprawdzanie schematu nie przyniesie spodziewanych efektów. Udostępnij: © dobreprogramy Zgłoś błąd w publikacji