Уязвимость в почте mail.ru, позволяющая сменить пароль на любом ящике без секретного вопроса

Mail.Ru — The Ghost Question Bug!

Уязвимость была довольно серьёзной и по этому хотелось придумать звучное название.
Почему назвали именно так узнаете ниже.

На днях я решил заново взяться за базу примари на mail.ru и побрутить ящики по секретным вопросам. В 2011 году было снято несколько сотен ящиков и по этому встал вопрос: где взять актуальные ответы!?
Недолго думая я обратился к недавно найденной хитрости. С её помощью можно узнать имя и фамилию от любого зарегистрированного ящика в mail.ru. Для этого проходим по ссылке www.icq.com/download/webicq/ru ^[1], входим в аську и в поиске вбиваем желаемое мыло.
В ответе нам приходит имя и фамилия из информации о владельце ящика, дата рождения и город.

С виду всё прекрасно, но парcить таким методом фамилии и имена так и не вышло. С горя я решил брать их с «Моего Мира», но не все ящики там зарегистрированны, если быть точным не у всех создан «Мой Мир».

Через несколько минут было готово правило которое из списка со строками вида:

user@mail.ru|
делало список
user@mail.ru|Петрова.

Пропарсив полученную базу и сунув их в брут было снято несколько почтовых ящиков на фамилии и несколько на пробелы! Хм… Пробелы?
Зайдя в форму восстановление пароля от рандомного ящика и попробовав ввести пробел вместо ответа, я понял, что пробел это всё-равно что пустой ответ, а так как брут, который я использовал, не может брутить на пустые ответы, то я решил сделать сорс лист с пробелами! Вуаля — куча снятых ящиков и среди них 4 односимвольных.

Но не долго я радовался. Попробовав сменить пароль от понравившегося мне ящика, я увидел, что секретный вопрос на нём не установлен. Тут я решил имитировать работу брута и глянуть, почему же он сунул его в good? Был построен такой запрос:

http://e.mail.ru/cgi-bin/passremind?action=answer&Username=<login>&Domain=<domain>&Submit_PasswordAnswer=1&lang=ru_RU&answer=

Пройдя по данной ссылке, я увидел предложение сменить вопрос, отвязать мыло и номер телфона владельца! При этом нам становятся полностью видны телефоны владельцев и их запасные электронные ящики для восстановления без всяких звёздочек.

Опять же, рано я обрадовался… После того, как я проделал всё предложенное, результата не последовало и всё осталось как есть, и почта, и номер телефона, а мой вопрос так и не появился.

Через некоторое время и ещё пару неудачных попыток изменения пароля я вспомнил, что мой знакомый кодер делал брут секретных вопросов через m.mail.ru — это мобильная версия сайта. И я попробовал изменить запрос на «мобильный», который выглядел вот так:

http://m.mail.ru/cgi-bin/passremind?action=answer&Usern ame=<login>&Domain=<domain>&Su bmit_PasswordAnswer=1&lang=ru_ RU&answer=

Пройдя по данной ссылке я увидел предложение сменить пароль:

И он действительно менялся.
Также я заметил, что над полями, где вводил новый пароль, видно секретный вопрос, это вопрос «Фантом».

Баг был пофиксен 16.02.2013, статься писалась в ознакоительных целях.

Автор: psihoz26

Источник ^[2]