ANTICHAT - Глупые ошибки ICQ 2. Продолжение банкета.

ANTICHAT (https://forum.antichat.xyz/index.php)

- Skype, IRC, ICQ, Jabber и другие IM (https://forum.antichat.xyz/forumdisplay.php?f=13)

- - Глупые ошибки ICQ 2. Продолжение банкета. (https://forum.antichat.xyz/showthread.php?t=384258)

Итак, майские праздники позади и администрация ICQ всерьез продолжила заниматься прикрытием багов в своем сервисе, что не может не радовать. Так в понедельник 13 мая был пофиксен еще один способ менять пароли на шестизнаках. А уже через два дня был закрыт доступ в админку сервиса lifestream.icq.com! Именно о последней "баге" собственно и пойдет речь.

http://savepic.org/3484477m.jpg

Доступ в админку был поистине смешным: http://lstreamfeweb.evip.icq.com/admin. В других случаях доступ ограничен паролем и ip-авторизацией, но тут почему-то отсутствовало и то и другое. Любой желающий мог пройти по ссылке и посетить админскую панель управления. Сама панель содержала обильное количество функций для управления в первую очередь лайфстримом, каналами пользователей, привязками к youtube, twitter, facebook и т.д. Сразу хочется отметить, что доступа к критической информации, будь то пароли, электронные адреса для авторизации и привязанные номера телефонов, в панели не содержалось.

Отдельно стоит упомянуть функцию "View graph cache in memcached", которая позволяла посмотреть кэш контакт-листа от любого ICQ-уина или аккаунта AIM. Кэш судя по всему обновлялся и чистился редко, поэтому обычно он содержал 70-95% от всего контакт-листа.

Другая функция "View accountinfo stored in memcached" позволяла посмотреть привязанные к уины аккаунты гугл, твиттер и фэйсбук.

Остальные функции можно посмотреть в скриншотах. Из самых интересных это пожалуй "Delete User" и "Bind Account" .

http://savepic.ru/4579442m.jpg

http://savepic.net/3696602m.jpg

http://savepic.org/3478332m.jpg

Также можно было управлять сервисами, подключенными к каналам пользователей в лайфстрим и представленными на карте локациями отдельных структур и аффилированных организаций.

http://savepic.ru/4532338m.jpg

http://savepic.net/3702749m.jpg

З.Ы. Как долго бага была точно не известно, но по моим данным это длилось более чем 1.5 месяца.

З.Ы.Ы. Аналогичной админки в лайфстриме на серверах AOL не обнаружено.

да че с аськой творится

Оживляем тему! Пару недель назад админка (http://lstreamfeweb.evip.icq.com/admin) вдруг вновь ожила! И админы опять накосячили - доступ в админку не фильтровался!

Вооружившись сорсами своего брута ALICE, за вечер мной был написан многопоточный граббер контакт-листов от ICQ-уинов (ICQ CL GET).

http://savepic.org/5609381.png

Примерно за неделю удалось собрать базу ~100 млн. аккаунтов! Затем бага была закрыта.

http://savepic.org/5636004.png

Цитата:

Сообщение от alkos

Примерно за неделю удалось собрать базу ~100 млн. аккаунтов! Затем бага была закрыта.

не понял, ты собрал базу номеров или номера с паролями?

Цитата:

Сообщение от Alexandr II

Alexandr II said:
не понял, ты собрал базу номеров или номера с паролями?

Админка позволяла только контакты просматривать. Поэтому собрал базу контакт-листов различных уинов.

Цитата:

Сообщение от alkos

Админка позволяла только контакты просматривать. Поэтому собрал базу контакт-листов различных уинов.

ну теперь либо брут либо спам

а я то думаю, чего это последние дней 10 спам валит в асю.

теперь все понятно -)

зачем мне, несколько миллионов, мёртвых номеров. - только время тратить. собирай лучше живых пользователей.

В нескольких миллионах номеров, собранных с КЛ пользователей будет гораздо больший процент живых, чем в нескольких миллионах, сгенеренных рандомно или по диапазону.

Цитата:

Сообщение от kerchi

зачем мне, несколько миллионов, мёртвых номеров. - только время тратить. собирай лучше живых пользователей.

В первую очередь собиралась база элитки, коротких уинов и свежерегов. Если там будет хотя бы 1% живых контактов, то это уже ~1 млн. пользователей.

Цитата:

Сообщение от mailbrush

а если по поиску работать? как это и делалось раньше..