Глупые ошибки ICQ 2. Продолжение банкета.

23.05.2013, 00:26

alkos

Участник форума

Регистрация: 28.03.2007

Сообщений: 252

С нами: 10063867

Репутация: 63

Итак, майские праздники позади и администрация ICQ всерьез продолжила заниматься прикрытием багов в своем сервисе, что не может не радовать. Так в понедельник 13 мая был пофиксен еще один способ менять пароли на шестизнаках. А уже через два дня был закрыт доступ в админку сервиса lifestream.icq.com! Именно о последней "баге" собственно и пойдет речь.

Доступ в админку был поистине смешным: http://lstreamfeweb.evip.icq.com/admin. В других случаях доступ ограничен паролем и ip-авторизацией, но тут почему-то отсутствовало и то и другое. Любой желающий мог пройти по ссылке и посетить админскую панель управления. Сама панель содержала обильное количество функций для управления в первую очередь лайфстримом, каналами пользователей, привязками к youtube, twitter, facebook и т.д. Сразу хочется отметить, что доступа к критической информации, будь то пароли, электронные адреса для авторизации и привязанные номера телефонов, в панели не содержалось.

Отдельно стоит упомянуть функцию "View graph cache in memcached", которая позволяла посмотреть кэш контакт-листа от любого ICQ-уина или аккаунта AIM. Кэш судя по всему обновлялся и чистился редко, поэтому обычно он содержал 70-95% от всего контакт-листа.

Другая функция "View accountinfo stored in memcached" позволяла посмотреть привязанные к уины аккаунты гугл, твиттер и фэйсбук.

Остальные функции можно посмотреть в скриншотах. Из самых интересных это пожалуй "Delete User" и "Bind Account" .

Также можно было управлять сервисами, подключенными к каналам пользователей в лайфстрим и представленными на карте локациями отдельных структур и аффилированных организаций.

З.Ы. Как долго бага была точно не известно, но по моим данным это длилось более чем 1.5 месяца.

З.Ы.Ы. Аналогичной админки в лайфстриме на серверах AOL не обнаружено.

𝕏 Twitter Reddit Telegram Копировать ссылку