Утром на сайте qip.ru пользователи могли видеть сообщение: «Привет (номер акаунта ICQ – прим. ред.). Давай поиграем в игру…Если ты не откажешься от использования QIP Infium, который сохраняет пароли на твоем сервере, то твои пароли рано или поздно окажутся у плохих людей. Я гарантирую это. Я даю тебе последний шанс. Эти страницы могу помочь тебе исправиться: Jabber, Miranda (оформлены гиперссылки на соответствующие сайты – прим. ред.), но тебе следует действовать быстро. Доверяешь ли ты таким админам? Выбор за тобой…». Причем в качестве номера ICQ использовался акаунт просматривающего страницу пользователя, а в заголовке страницы было изображение куклы из фильма «Пила». Последствия взлома, судя по всему, были быстро ликвидированы.
Напомним, что взлом на прошлой неделе был связан с неправильной политикой безопасности в области паролей (слишком легкий пароль, и дублирующийся). Однако, несмотря на то, что его сменили, сайт остался незащищенным. Разработчики сайта говорят о том, что учетные записи jabber и прочие сервисы никак не связаны с CMS qip.ru. Доступ к серверу, где хранятся данные настроек учетных записей, не имеет административного интерфейса, к его настройкам и данным можно попасть только из внутренней сети, в которую проникнуть без санкции практически нереально. Однако у пользователей возникает вопрос, каким образом данные от сервера получает сам клиент? Следовательно, получить доступ к данным можно не только из внутренней сети.
Дополнительно можно указать еще и на то, что ссылка настроек стоит в QIP по умолчанию. А включив QIP в первый раз, пользователь получает приглашение ввести свой аккаунт. В итоге все данные тут же отсылаются на сервер storage.qip.ru, независимо от желания пользователя. В отличие от QIP, мессенджер Miranda как минимум ничего никуда не отсылает, и это легко проверяется благодаря открытым исходным кодам.
«Я предполагаю, что эта акция, направленная против QIP, носит «идеологический» характер, - комментирует модератор официальной русской конференции Miranda IM Сергей Меликян. QIP - неплохой IM, но заслужил свою плохую репутацию исключительно своим PR и поведением модераторов на форуме (затирание топиков, и т.д.). Эти два обстоятельства стали тем фактором, который обеспечил QIP ненависть одной части и обожание другой части аудитории. После заявления разработчика QIP Ильгама Зюлькорнеева о том, что он не заинтересован в дальнейшей работе над QIP, ничего хорошего не ждет QIP и окружающее его коммьюнити. Я думаю, популярность QIP будет падать - QIP уже не столько IM-мессенджер, сколько портал и связанные с ним сервисы».
Что еще прочитать по данной теме
12 мая 2009 г. Интернет-гоп-стоп. Взломан сайт QIP
25 марта 2009 г. «Летящая пепяка» объединяет протоколы
4 февраля 2009 г. Альтернативные ICQ-клиенты вернулись «в сеть»
22 января 2009 г. ICQ «прикрыла» альтернативу. В очередной раз
Автор: Алексей Писарев (info@mskit.ru)
Рубрики: Web, Безопасность