Uwaga na pocztę Tlen.pl i o2.pl! Strona główna Aktualności14.03.2006 13:11 Udostępnij: O autorze Redakcja Jeden z naszych Czytelników (PXR) poinformował nas o niebezpiecznej luce w zabezpieczeniach dostępu do poczty Tlen.pl (funkcjonującej także w domenach o2.pl i go2.pl). Mimo tego, że poinformował on portal o wykrytej nieprawidłowości, wciąż nie uzyskał odpowiedzi, a dostęp do poczty użytkowników tlen.pl (i bliźniaczych) stoi przed każdym otworem. Każdy w bardzo prosty sposób, bez potrzeby stosowania jakichkolwiek dodatkowych narzędzi, nie dysponując nawet praktycznie żadną wiedzą może dokonać zmiany hasła w dowolnym koncie e-mail z "grupy tlen". Oczywiście po zmianie hasła intruz uzyskuje pełny dostęp do atakowanej skrzynki. Jedyną trudnością jaką napotka osoba próbująca skorzystać z cudzego konta jest konieczność podania daty urodzenia właściciela pechowej skrzynki. Naturalnie, nie jest to jednak poważny problem, zwłaszcza jeśli zna ona swoją ofiarę lub gdy login zawiera cyfry określające tą datę. Z oczywistych powodów nie podajemy szczegółów przeprowadzenia tej operacji zaręczamy jednak, że włamanie nie nastręcza żadnych kłopotów - co własnoręcznie wypróbowaliśmy... Miejmy nadzieję, że Tlen.pl w końcu zajmie się tym problemem, na razie posiadacze wymienionych skrzynek powinni chyba się zastanowić czy napewno nie przechowują w nich szczególnie poufnych informacji, należy również pamiętać że intruz wykorzystujący lukę może przesyłać maile podszywając się pod właściciela. Uaktualnienie, 14.03.2006, 13:52 Informujemy, że luka została załatana, nie ma możliwości włamania się do kont użytkowników na zasadach, o których pisaliśmy. Możemy więc zakładać, że bez ryzyka można obecnie korzystać z poczty o2.pl. Biorąc pod uwagę, że przeoczenie zostało naprawione, przedstawiamy zasadę działania. 1. Logujemy się na swoje konto. 2. W opcjach konta klikamy w odnośnik "Zmień pytanie i odpowiedź". 3. W oknie które się pojawiło, należy podać login i hasło. 4. My jednak podajemy tylko login i klikamy dalej. 5. W kolejnym oknie zostajemy poinformowani jakie użytkownik wpisał "pytanie i odpowiedź" potrzebne do zmiany hasła. 6. Teraz nie pozostaje nam nic innego jak wejść na podstronę służącą do zmiany hasła, podać login, podać pytanie i odpowiedź (które uzyskaliśmy we wcześniejszych punktach) i trafić z datą urodzenia. 7. Jeśli wszystko poszło gładko, możemy zalogować się na skrzynkę ofiary. Jak już pisaliśmy wcześniej, luka została załatana więc sprawdzanie schematu nie przyniesie spodziewanych efektów. Udostępnij: © dobreprogramy Zgłoś błąd w publikacji Zobacz także Google pozwala firmom trzecim czytać cudzą pocztę i nie widzi w tym nic złego 22 wrz 2018 Piotr Urbaniak Internet Biznes Bezpieczeństwo 97 Uwaga na podróbkę aplikacji polskiego banku na Androida: pieniądze są zagrożone od czerwca 20 wrz 2018 Oskar Ziomek Oprogramowanie Bezpieczeństwo 60 Klienci PKO mogą sprawdzić, czy dostali prawdziwe dokumenty, dzięki blockchainowi 17 wrz 2018 Anna Rymsza Oprogramowanie 40 Bez logowania w Chromie nie ma przeglądania. Ma to jednak pewne zalety 24 wrz 2018 Anna Rymsza Oprogramowanie Bezpieczeństwo 78
Udostępnij: O autorze Redakcja Jeden z naszych Czytelników (PXR) poinformował nas o niebezpiecznej luce w zabezpieczeniach dostępu do poczty Tlen.pl (funkcjonującej także w domenach o2.pl i go2.pl). Mimo tego, że poinformował on portal o wykrytej nieprawidłowości, wciąż nie uzyskał odpowiedzi, a dostęp do poczty użytkowników tlen.pl (i bliźniaczych) stoi przed każdym otworem. Każdy w bardzo prosty sposób, bez potrzeby stosowania jakichkolwiek dodatkowych narzędzi, nie dysponując nawet praktycznie żadną wiedzą może dokonać zmiany hasła w dowolnym koncie e-mail z "grupy tlen". Oczywiście po zmianie hasła intruz uzyskuje pełny dostęp do atakowanej skrzynki. Jedyną trudnością jaką napotka osoba próbująca skorzystać z cudzego konta jest konieczność podania daty urodzenia właściciela pechowej skrzynki. Naturalnie, nie jest to jednak poważny problem, zwłaszcza jeśli zna ona swoją ofiarę lub gdy login zawiera cyfry określające tą datę. Z oczywistych powodów nie podajemy szczegółów przeprowadzenia tej operacji zaręczamy jednak, że włamanie nie nastręcza żadnych kłopotów - co własnoręcznie wypróbowaliśmy... Miejmy nadzieję, że Tlen.pl w końcu zajmie się tym problemem, na razie posiadacze wymienionych skrzynek powinni chyba się zastanowić czy napewno nie przechowują w nich szczególnie poufnych informacji, należy również pamiętać że intruz wykorzystujący lukę może przesyłać maile podszywając się pod właściciela. Uaktualnienie, 14.03.2006, 13:52 Informujemy, że luka została załatana, nie ma możliwości włamania się do kont użytkowników na zasadach, o których pisaliśmy. Możemy więc zakładać, że bez ryzyka można obecnie korzystać z poczty o2.pl. Biorąc pod uwagę, że przeoczenie zostało naprawione, przedstawiamy zasadę działania. 1. Logujemy się na swoje konto. 2. W opcjach konta klikamy w odnośnik "Zmień pytanie i odpowiedź". 3. W oknie które się pojawiło, należy podać login i hasło. 4. My jednak podajemy tylko login i klikamy dalej. 5. W kolejnym oknie zostajemy poinformowani jakie użytkownik wpisał "pytanie i odpowiedź" potrzebne do zmiany hasła. 6. Teraz nie pozostaje nam nic innego jak wejść na podstronę służącą do zmiany hasła, podać login, podać pytanie i odpowiedź (które uzyskaliśmy we wcześniejszych punktach) i trafić z datą urodzenia. 7. Jeśli wszystko poszło gładko, możemy zalogować się na skrzynkę ofiary. Jak już pisaliśmy wcześniej, luka została załatana więc sprawdzanie schematu nie przyniesie spodziewanych efektów. Udostępnij: © dobreprogramy Zgłoś błąd w publikacji