Uwaga na pocztę Tlen.pl i o2.pl! Strona główna Aktualności14.03.2006 13:11 Udostępnij: Polub: O autorze Redakcja Jeden z naszych Czytelników (PXR) poinformował nas o niebezpiecznej luce w zabezpieczeniach dostępu do poczty Tlen.pl (funkcjonującej także w domenach o2.pl i go2.pl). Mimo tego, że poinformował on portal o wykrytej nieprawidłowości, wciąż nie uzyskał odpowiedzi, a dostęp do poczty użytkowników tlen.pl (i bliźniaczych) stoi przed każdym otworem. Każdy w bardzo prosty sposób, bez potrzeby stosowania jakichkolwiek dodatkowych narzędzi, nie dysponując nawet praktycznie żadną wiedzą może dokonać zmiany hasła w dowolnym koncie e-mail z "grupy tlen". Oczywiście po zmianie hasła intruz uzyskuje pełny dostęp do atakowanej skrzynki. Jedyną trudnością jaką napotka osoba próbująca skorzystać z cudzego konta jest konieczność podania daty urodzenia właściciela pechowej skrzynki. Naturalnie, nie jest to jednak poważny problem, zwłaszcza jeśli zna ona swoją ofiarę lub gdy login zawiera cyfry określające tą datę. Z oczywistych powodów nie podajemy szczegółów przeprowadzenia tej operacji zaręczamy jednak, że włamanie nie nastręcza żadnych kłopotów - co własnoręcznie wypróbowaliśmy... Miejmy nadzieję, że Tlen.pl w końcu zajmie się tym problemem, na razie posiadacze wymienionych skrzynek powinni chyba się zastanowić czy napewno nie przechowują w nich szczególnie poufnych informacji, należy również pamiętać że intruz wykorzystujący lukę może przesyłać maile podszywając się pod właściciela. Uaktualnienie, 14.03.2006, 13:52 Informujemy, że luka została załatana, nie ma możliwości włamania się do kont użytkowników na zasadach, o których pisaliśmy. Możemy więc zakładać, że bez ryzyka można obecnie korzystać z poczty o2.pl. Biorąc pod uwagę, że przeoczenie zostało naprawione, przedstawiamy zasadę działania. 1. Logujemy się na swoje konto. 2. W opcjach konta klikamy w odnośnik "Zmień pytanie i odpowiedź". 3. W oknie które się pojawiło, należy podać login i hasło. 4. My jednak podajemy tylko login i klikamy dalej. 5. W kolejnym oknie zostajemy poinformowani jakie użytkownik wpisał "pytanie i odpowiedź" potrzebne do zmiany hasła. 6. Teraz nie pozostaje nam nic innego jak wejść na podstronę służącą do zmiany hasła, podać login, podać pytanie i odpowiedź (które uzyskaliśmy we wcześniejszych punktach) i trafić z datą urodzenia. 7. Jeśli wszystko poszło gładko, możemy zalogować się na skrzynkę ofiary. Jak już pisaliśmy wcześniej, luka została załatana więc sprawdzanie schematu nie przyniesie spodziewanych efektów. Udostępnij: Polub: © dobreprogramy Zgłoś błąd w publikacji
Udostępnij: Polub: O autorze Redakcja Jeden z naszych Czytelników (PXR) poinformował nas o niebezpiecznej luce w zabezpieczeniach dostępu do poczty Tlen.pl (funkcjonującej także w domenach o2.pl i go2.pl). Mimo tego, że poinformował on portal o wykrytej nieprawidłowości, wciąż nie uzyskał odpowiedzi, a dostęp do poczty użytkowników tlen.pl (i bliźniaczych) stoi przed każdym otworem. Każdy w bardzo prosty sposób, bez potrzeby stosowania jakichkolwiek dodatkowych narzędzi, nie dysponując nawet praktycznie żadną wiedzą może dokonać zmiany hasła w dowolnym koncie e-mail z "grupy tlen". Oczywiście po zmianie hasła intruz uzyskuje pełny dostęp do atakowanej skrzynki. Jedyną trudnością jaką napotka osoba próbująca skorzystać z cudzego konta jest konieczność podania daty urodzenia właściciela pechowej skrzynki. Naturalnie, nie jest to jednak poważny problem, zwłaszcza jeśli zna ona swoją ofiarę lub gdy login zawiera cyfry określające tą datę. Z oczywistych powodów nie podajemy szczegółów przeprowadzenia tej operacji zaręczamy jednak, że włamanie nie nastręcza żadnych kłopotów - co własnoręcznie wypróbowaliśmy... Miejmy nadzieję, że Tlen.pl w końcu zajmie się tym problemem, na razie posiadacze wymienionych skrzynek powinni chyba się zastanowić czy napewno nie przechowują w nich szczególnie poufnych informacji, należy również pamiętać że intruz wykorzystujący lukę może przesyłać maile podszywając się pod właściciela. Uaktualnienie, 14.03.2006, 13:52 Informujemy, że luka została załatana, nie ma możliwości włamania się do kont użytkowników na zasadach, o których pisaliśmy. Możemy więc zakładać, że bez ryzyka można obecnie korzystać z poczty o2.pl. Biorąc pod uwagę, że przeoczenie zostało naprawione, przedstawiamy zasadę działania. 1. Logujemy się na swoje konto. 2. W opcjach konta klikamy w odnośnik "Zmień pytanie i odpowiedź". 3. W oknie które się pojawiło, należy podać login i hasło. 4. My jednak podajemy tylko login i klikamy dalej. 5. W kolejnym oknie zostajemy poinformowani jakie użytkownik wpisał "pytanie i odpowiedź" potrzebne do zmiany hasła. 6. Teraz nie pozostaje nam nic innego jak wejść na podstronę służącą do zmiany hasła, podać login, podać pytanie i odpowiedź (które uzyskaliśmy we wcześniejszych punktach) i trafić z datą urodzenia. 7. Jeśli wszystko poszło gładko, możemy zalogować się na skrzynkę ofiary. Jak już pisaliśmy wcześniej, luka została załatana więc sprawdzanie schematu nie przyniesie spodziewanych efektów. Udostępnij: Polub: © dobreprogramy Zgłoś błąd w publikacji