Все файлы пользователей ICQ и QIP, которые те передавали в своих сообщениях, до утра 12 декабря можно было свободно скачать с сервера ICQ.
Дело в том, что с некоторых пор файлы передаются от отправителя получателю не напрямую, а сохраняется на один из серверов компании Mail.ru, которой принадлежит сервис мгновенных сообщений, получателю отправляется ссылка на файл, тот его скачивает. Сам файл так и остается на сервере.
Доступ к файлам ограничивался всего лишь 6-значним ключом, состоящим из заглавных букв и цифр. Первым об этом написал на странице своего ЖЖ блоггер под ником ntv, он же Тимофей Васильев, сообщает SecurityLab.
Таким образом, легко предсказуемую ссылку на файлы (http://files.icq.net/files/get?fileId=XXXXXX , где XXXXXX – название файла) можно было сгенерировать простым сценарием и заполучить доступ к файлам пользователей.
В качестве доказательства существования этой дыры Васильев опубликовал огромную галерею фотографий, выкачанных за полтора часа работы скрипта.
Среди обнаруженных на сервере файлов оказались довольно компрометирующие изображения порнографического содержания, копии различных документов, личные фотографии и пр.
Подобным образом были доступны все файлы, загруженные через интерфейс files.mail.ru.
Администрация mail.ru оперативно отреагировала на появление подобной информации в публичном доступе и закрыла доступ к домену files.icq.net. При этом файлы еще оставались доступными некоторое время через домен files.mail.ru.
C подобными проблемами периодически сталкиваются многие контент-провайдеры. Например, относительно недавно каждый желающий мог аналогичным образом подобрать ссылку и просмотреть файлы пользователей сервиса CloudApp.
