Обнаружена серьезная уязвимость при пересылке файлов в сервисах ICQ и QIP

Общедоступными стали все файлы, когда либо пересылаемые через icq с момента приобретеия сервиса компанией mail.ru. Проблема связана с тем, что после приобретения, прямая пересылка файлов между клиентами была заменена на промежуточный сервер хранения. Тем самым пользователи скачивали файлы с генерируемых ссылок вида: files.icq.net/files/get?fileId=XXXXXX. В такой ссылке «XXXXXX» – это случайный набор символов. Но при этом банальный перебор данной последовательности создает возможность выкачивать все подряд файлы, которые хранятся на серверах mail.ru (передаваемые пользователями друг другу). 

Уже был даже разработан простой скрипт, при помощи которого выкачиваются файлы случайных пользователей в автоматическом режиме. Немаловажно, что такого рода уязвимость серьезно угрожает миллионам пользователей, которые так или иначе могли пересылать критичные файлы через данные службы мгновенных сообщений.

Официальный комментарий пресс-службы Mail.Ru Group: "На самом деле мы максимально быстро перекрыли все возможные действия вредоносного скрипта, написанного для перебора ссылок, а также оперативно заблокировали все его модификации, тиражируемые злоумышленниками в блогосфере. Доступ по старым коротким ссылкам отключен и включаться не будет. Работа сервиса по передаче файлов сейчас функционирует в рабочем режиме – теперь генерируются более безопасные длинные ссылки, обеспечивающие надежную защиту передаваемой информации".