niedziela, 13 września 2009

Hacking bazy kont Gmail

Jakiś czas temu dokonałem pewnego odkrycia, mianowicie zobaczyłem jak pozyskać prawidłowe adresy e-mail kont z Gmaila.

Spamerzy na całym świecie starają się pozyskać aktualne e-maile internautów i w tym celu kupują bazy danych lub sami próbują je pozyskiwać (np. poprzez robaki przeszukujące strony WWW, w których naiwni użytkownicy je wpisali itp.). Konta Gmail są ostatnio bardzo intratne, bo są to konta nowe i na pewno aktualne/aktywne, co więcej rozwiązanie poczty firmy Google jest bardzo popularne na całym świecie (większość moich znajomych ma tam już konto), co oznacza, że jest na celowniku spamerów...

Zamknięty cykl spamu

Mają oni jednak problem: jak pozyskać np. setki tysięcy takich adresów ? No niestety, ale właśnie udało mi się odkryć jak... w banalny sposób... dla Waszego dobra przemilczę jaki... co gorsze dojść w ten sposób można do wszystkich adresów, które są w pewnym momencie jawnie podawane przez serwer.
Najbardziej istotne jest to aby każdy pozyskany przez spamera adres był realny, aktualny itp. jednak w tym przypadku nie dość że jesteśmy tego pewni to jeszcze możemy sprawdzić aktywność użytkownika...

Teraz przynajmniej wiem czego robić nie mogę jeśli nie chcę trafić na listę spamerów – choć i tak już za późno... W każdym razie sposób ten jeszcze nie został odkryty przez spamerów, bo moja skrzynka nie ma żadnych spamów (tu wielkie uznanie dla Google za Gmail – że udało im się zrobić to czego innym firmom na całym świecie – nie udało się). Jednak na koncie Gmail, którego używam na aukcjach spamy się czasami zdarzają, ale zapewne adres ten został przejęty przez spamerów innymi metodami (dodatkowo jacyś kiepscy są bo taka mała ilość spamu to ich obraża ;):) ).


Proponuję aby firma Google lepiej się zastanawiała nad tym jak projektuje swoje serwisy, szczególnie, że tu projekt jest już na takim etapie, że tego usunąć się nie da (bez drastycznych zmian, ale to i tak już za próżno bo pewnie i tak zostało to już gdzieś zmagazynowane w jakimś automatycznym archiwum).


Update:
Wcześniej o bezpieczeństwie wspominałem w poście pt. Bezpieczeństwo internetowe w TV.


Update:
Po około roku (od czasu publikacji tego posta) Google wprowadziło poważne zmiany w swoim systemie (co powodowało odpowiedni monit, który musiał każdy użytkownik zatwierdzić). Informacja o adresie e-mail nie została usunięta lecz zamaskowana, co faktycznie oznaczało to samo;) Nie było to idealne choć jedyne rozsądne rozwiązanie. Problemem dalej pozostawały stare, archiwalne informacje dostępne w internecie, gdyż te nadal mogły zawierać w sobie adresy e-mail.

9 komentarzy:

jell pisze...

dawno sie tak nie usmialem :D
pisz wiecej takich rewelacji!

Tdc pisze...

Taaak... witam mego wielkiego miłośnika na moim blogu.

Wiesz... jak już coś piszesz to napisz o czym piszesz ? Napisałem coś niezgodnego z faktami ? Czy może coś jeszcze innego się nie zgadza ? A może nie wierzysz, że coś udało mi się znaleźć ?
A na koniec warto abyś swoje cenne myśli poparł jakimiś źródłami, tak jak ja to robię gdy coś opisuję na tym blogu.

No nie wiem... ale ja mogę powiedzieć: pisz więcej takich odkrywczych i informacjonośnych komentarzy...

jell pisze...

Terrorysci na calym swiecie staraja sie pozyskac sposob na dostarczenie bomby w strategiczne miesjce np. metro, samolot [...] Maja oni jednak problem - miejsca te sa zabezpieczone przez odpowiednie instytucje. No niestety, ale właśnie udało mi się odkryć jak... w banalny sposób... dla Waszego dobra przemilczę jaki... Co gorsza w ten sposob mozna znalezc wszystkie tajne wejscia, ktore sa w pewnym momecie jawnie podawane przez projektantow danych obiektow.

moze taki tekst potrafi ci zrozumiec jak zabawnie brzmia twoje slowa. znalazles cos, chwalisz sie tym, nie podajesz jednak ZADNYCH zrodel ani konkretow. wymagasz odemnie bym popieral mysli zrodlami - a sam tego we wpisie nie robisz (chyba ma wieksza wage niz komentarz?).

powiem tak - po prostu wpis ten caly byl tak odkrywczy i informacyjonośny - jak wpisy kaza...

Tdc pisze...

> znalazles cos, chwalisz sie tym, nie podajesz jednak ZADNYCH zrodel ani konkretow.

Czyli jednak nie wierzysz ;):)

Znalezienie luki w oprogramowaniu czy jego architekturze nie jest niczym nadzwyczajnym. Poza tym jakoś tragizujesz – to jest prosty i mały blog a nie serwis dla speców od bezpieczeństwa.

Jesteś niepotrzebnie agresywny (poprzez wyśmiewanie) w momencie gdy i ty, i ja doskonale zdajemy sobie sprawę z tego dlaczego nie podaję tych informacji. Do tego dochodzi fakt, że obecnie nie dostaję spamów, jednak gdybym upublicznił tę informację to pewnie dostawałbym ze 1000 dziennie co naprawdę mi się nie uśmiecha...

Źródeł nie podaję, bo ja jestem źródłem ;)
Jednak jeśli ktoś coś opublikuje w przyszłości na ten temat to wtedy podam źródła – spokojna głowa – w końcu właśnie tym się zajmuję na tym blogu.

Co się zaś tyczy chwalenia to źle to odebrałeś, to jest blog, jest tu wiele wpisów które na samej górze bloga określam „Natomiast drugim nieco przeczącym pierwszemu jest publikowanie typowo blogowych postów :)”. Ja po prostu relacjonuję czym się zajmuję (np. zgrywam dyskietki z Atari itp.) to nie jest chwalenie, gdybym chciał się chwalić, to pewnie bym rozgłaszał to gdzie popadnie, a ten blog jest raczej mało poczytnym miejscem, właściwie dziwię się jak tu trafiłeś.

> wymagasz odemnie bym popieral mysli zrodlami

Chyba logiczne jest że wymagałem źródeł bo miałem nadzieję że jednak przyczepiłeś się nie do samego faktu tylko jakiejś zawartej w tym poście treści merytorycznej, a do takiej dyskusji przydają się źródła (gdybyś chciał mi zarzucić wypisywanie bzdur które ciebie rozbawiły itp.).

> po prostu wpis ten caly byl tak odkrywczy i informacyjonośny

Zdawałem sobie z tego sprawę, ale tak jak pisałem wiele wpisów na tym blogu (i innych bogach) nie mają jakiejś specjalnej wartości, są jedynie odnotowaniem czegoś, np. że byłem na jakimś party itp. Czy to jest interesujące ? Zapewne dla wielu jest to kompletnie nieistotne.

Co do informacjonośności tego posta to właśnie zdecydowałem się go opublikować ze względu na to że jednak przekazuje on pewne treści (poza edukacyjnymi). Jeśli kogoś bardzo interesuje Gmail lub lubi wyszukiwać takie rzeczy (abstrahując po co) to wie już gdzie szukać. Dla takich ludzi to fajne wyzwanie. Osoba zainteresowana może też po prostu być bardziej uważna w codziennej pracy w Gmailu. Może też temat zainteresować jakiegoś mego kolegę, który zechce o tym porozmawiać – jeśli bym tego nie opisał nic by nie wiedział.

Co do informacji które zataiłem to niepotrzebnie się tak gorączkujesz, spotkaliśmy się ostatnio na party i dlatego można zakładać że w najbliższych 5 latach jeszcze się gdzieś spotkamy. A jeśli tak to po prostu możemy sobie kiedyś o tym porozmawiać – jeśli będzie Ciebie to interesowało. Choć wolałbym aby Ciebie to interesowało nie dla tego aby udowodnić, że nic nie znalazłem a po tonie twoich wypowiedzi wnoszę że tak właśnie by było...

Myślę, że wszystko jasne.

Co się zaś tyczy Kaza to w mojej ocenie od tego jest internet aby zamieszczać w nim takie informacje, które jeden chce zamieszczać a drugi czytać. Myślę, że niejeden chciałby mieć taką oglądalność i komentowalność swojej stronki jak ma Kaz. Nie jest tu istotne co i jak jest opisywane – ważne jest że ludzie to naprawdę bardzo cenią lub lubią. A to wystarcza za wszelkie oceny i analizy.


Na koniec dziękuję za w miarę sensowną wypowiedz. W końcu i mi zależy na tym jakiej jakości komentarze pojawiają się na tym blogu.

jell pisze...

wiem ze znalezienie luki w oprogramowaniu to nie problem, ale znajac twoje znajdowanie bugow w action (a raczej niedoczytanie jego dokumentacji ;) ) po prostu szczerze watpie w to, ze odkryles i nazwales bugiem cos, co jest powszechnie znana wlasciwoscia oprogramowania. chyba ze jednak odkryles cos w action, bo kilkukrotnie wspominales ze to ci sie udalo, ale jakos nie slyszalem o tym by ktos slyszal o konkretach od Ciebie.

nie tylko w tej sprawie nie podales konkretow ;)

ok. przeslij mi na maila (piotr.skamruk@gmail.com - powiedzmy ze mniej sie obawiam tych milionow spamu) te twoje "zrodlowe informacje", ktorych zrodlem sam jestes ;) chetnie odszczekam wysmiewanie sie ;)

"że jednak przyczepiłeś się nie do samego faktu tylko jakiejś zawartej w tym poście treści merytorycznej" - jakiej? takiej tam nie ma ;)

co do kaza - raz nazywa swoj "portal" informacyjnym, a raz blogiem - po prostu sam sie nie umie zdecydowac. moze i rzeczywiscie nie jeden by chcial miec taka ogladalnosc/komentowalnosc - tylko tak na prawde sie zastanawiam po co? wewnetrzna potrzeba podbudowania ego? moze i niektorzy potrzebuja "tysiecy odwiedzajacych i czytajacych jego wypociny w wybujalym stylu".

Tdc pisze...

> znajdowanie bugow w action

he, he no niezłe skąd Tobie do głowy przychodzą takie tematy :D :D

Poza tym to nie ja szukam błędów w Action! tylko one się same ujawniają...

Tak się składa, że właśnie przygotowywałem tekst na bloga w którym poruszam zagadnienia związane z Erystyką. Dlatego podam Tobie tutaj cytaty:
„(...)
16. Mutatio controversiae: Widząc, że przeciwnik podąża argumentacją, którą nas pobije, wytrącić go z biegu, zmienić temat, odwrócić uwagę."

(...)
23. Dywersja: Widząc, że zaczynamy przegrywać rozpoczynamy mówić zupełnie o czymś innym, jak gdyby to było argumentem przeciwnym (bezczelne, kiedy nie dotyczy to w ogóle tematu dyskusji).”
oraz
„7. Wyprowadzić przeciwnika dyskusji z równowagi (przez bezczelne zachowanie względem niego), zdenerwowany nie będzie w stanie wszystkiego przemyśleć i dopilnować.”

i inne ;)

> a raczej niedoczytanie jego dokumentacji ;)

No jaki ty jesteś dowcipny ! Brawo!
Nie wiem co ty wiesz o dokumentacji Action! oraz o jej czytaniu i zawartości...

> nazwales bugiem cos, co jest powszechnie znana wlasciwoscia oprogramowania

Proszę o fakty ! Źródła !

Jednak fakty są takie, że:
1. najprawdopodobniej nie masz najmniejszego pojęcia o Action!
2. --”-- nigdy nie napisałeś programu w tym języku
3. --”-- nie czytałeś dokumentacji
4. nie znasz znanych właściwości oprogramowania

Nie masz wiedzy o moich programach (bo niby skąd?), o błędach jakie znalazłem i z czym są związane. Do tego nie masz zielonego pojęcia, że jest już prawie gotowy artykuł, który opisuje błąd o którym ostatnio była mowa (w necie i na party). (do tego tekstu brakuje jedynie przykładowego programu który zaprezentuje opisane błędy – gdy to zrobię artykuł niebawem zostanie opublikowany).
Ja mogę jedynie powiedzieć, że nie ma w necie opisu tego zagadnienia, dlatego tekst ten będzie pionierski.

Dam Tobie taką przyjacielską radę: nie ładuj się w tematy o których nie masz zielonego pojęcia. Jeśli nie będziesz się stosował do tej zasady to w przyszłości będziesz się za każdym razem kompromitował.

> ale jakos nie slyszalem o tym by ktos slyszal o konkretach od Ciebie.

Prowadziłeś jakieś przeszpiegi ??;)
Chodzi o to, że mało kogo interesują takie tematy, bo mało kto ma taki jak ty cel do udowodnienia. Każdy wie, że jeśli coś się dzieje to zakończy się to odpowiednim artykułem czy tematem na forum. Jednak do zachowania takiego spokoju wymagane jest nieco rozsądku i dystansu.

Tdc pisze...

> ok. przeslij mi na maila (piotr.skamruk@gmail.com - powiedzmy ze mniej sie obawiam tych milionow spamu) te twoje "zrodlowe informacje", ktorych zrodlem sam jestes ;) chetnie odszczekam wysmiewanie sie ;)

O ale ciekawa propozycja, niestety będziesz musiał się pogodzić z moją wcześniejszą, w której mówiłem, że często jestem obecny w wielu miejscach w Polsce i nie problem ze mną porozmawiać na dowolny temat.

Stawiasz się tu w roli sędziego (przy równoczesnym atakowaniu mnie odnośnie posta, action! itp.), który oceni moją prawdomówność oraz kompetencję...
Czy ty czasami za bardzo nie bujasz w obłokach ??

Poza tym skąd się u Ciebie biorą takie nieprzebrane pokłady ostrej konfrontacji – to nie jest jakaś paranoja ? Usiądź i ochłoń nieco...
Może przypomnę Tobie fakty: my się raz widzieliśmy, praktycznie nie znamy i naprawdę nie musi się to zmieniać !
Dogłębnie przemyśl sobie ostatni wykrzyknik.

> chetnie odszczekam wysmiewanie sie ;)

No to już masz pierwszą okazję odnośnie Action!

> jakiej? takiej tam nie ma ;)

Mnie jako wieloletniego wykładowcy nie pouczaj odnośnie tego co jest treścią merytoryczną, a co nie...

> co do kaza - raz nazywa swoj "portal" informacyjnym, a raz blogiem

To jest jego sprawa.

> tylko tak na prawde sie zastanawiam po co?

Nie wiem po co, jeden chce pisać newsy („nowinki”) drugi chce wszędzie komentować lub zaczepiać ludzi... po co ? Nie wiem...

> wewnetrzna potrzeba podbudowania ego?

Możliwe, w końcu jest to naturalna potrzeba każdego człowieka.

> moze i niektorzy potrzebuja "tysiecy odwiedzajacych i czytajacych jego wypociny w wybujalym stylu".

Jednak potrzebować lub pożądać to jedno a drugie to osiągnąć. Przykładowo ja tu na tym blogu mam bardzo małe odwiedziny i nie wiem czy można cokolwiek zrobić w tym kierunku aby były większe. Ludzie są wybredni itp. szczególnie kiedy coś czytają w „wybujalym stylu” ;)


Proponuję nie brnięcie w te dziwne (dla mnie) dysputy i pozostawienie spraw istotnych dla Ciebie na jakąś przyszłą okazję (w końcu za kilkanaście dni będę dostępny dla wszystkich chętnych przez cały weekend, więc już jest okazja).

jell pisze...

hahaha, ok pana "wieloletniego wykladowcy" nie bede tu juz wiecej komentowal :)

zapraszam na #atari8 na irca - odpowiem na twoje wszelkie pytania/watpliwosci tu zadane/wypisane ;)

btw. prosze o nie zarzucanie mi braku pojecia ;)

Tdc pisze...

Oby ! Będę trzymał za słowo, że nie będziesz już komentował tutaj.

Przy komentowaniu na tym blogu pojawiają się moje słowa: „Proszę wpisz tu coś ciekawego” oraz „nikt tu nie ma zamiaru kogokolwiek obrażać”, oznacza to także to, że dbam o jakość komentarzy oraz o to aby nikt tutaj nie stosował metod sejmowych i naszych polityków itp. Dlatego naprawdę cieszy mnie Twoja decyzja. W normalnej sytuacji mógłbym prosić ciebie o to abyś w swoich komentarzach stosował się do zwykłych norm i netykiety, ale ja już kiedyś o to prosiłem i dlatego wiem, że nie ma to sensu oraz że jest to jedyne rozsądne wyjście.

Co do obrażania kogoś to będę nieugięty jeśli jakiś świr będzie tu kiedykolwiek chciał kogoś obrażać tylko dlatego, że tamten ma inny światopogląd, pomysły itp. Dlatego zaznaczam już dziś (to nie koniecznie do ciebie), że nie będę tolerował takich zachowań, jak ktoś ma coś z głową niech zaśmieca onet.

> zapraszam na #atari8 na irca - odpowiem na twoje wszelkie pytania/watpliwosci tu zadane/wypisane ;)

Dziękuję, ale nie skorzystam. Jestem człowiekiem czynu, a nie tracenia czasu (wszędzie tam gdzie można coś zrobić ja znajdę swoje miejsce). Nie mam czasu na jego trwonienie, na jakieś czcze gadki, w których rozmówca nie jest zdolny do podania chociaż jednego faktu czy źródła. Pisałem ostatnio cytuję „Proszę o fakty ! Źródła !”, miałeś okazję do podania pliku z źródłem, procedury oraz opisu kodu, w którym coś niby się znajduje (lub innych np. cytatów z dokumentacji itp.). A tak to dla mnie jest to bezwartościowe, bo 7 latek też potrafi napisać „hahaha”, jednak z dzieckiem nie da się przeprowadzić jakiejkolwiek dyskusji czy analizy.

Dodatkowo zapraszasz mnie na irca w momencie gdy sam jesteś „forumowym smokiem”, który dorobił się bardzo... ujmę to... „bijącego po oczach” wizerunku.
Znów zbliżasz się do obłoków...

> btw. prosze o nie zarzucanie mi braku pojecia ;)

Mam do tego pełne prawo bo nie masz żadnych szans aby cokolwiek wiedzieć w tematach takich jak pisałem: 1. znalezionych błędów 2. moich programów 3. faktu powstawania artykułu
A skoro nie mogłeś mieć żadnej wiedzy i żadnej możliwości poznania tych tematów to oznacza to brak pojęcia (np. o faktach).



Jeśli nie jest zaznaczone inaczej (lub nie jest zaznaczone wcale) zamieszczone ilustracje pochodzą z Wikimedia Commons lub są mojego autorstwa.


Ta strona używa cookies oraz innych technologii Google (i innych firm w specjalnych dodatkach po prawej stronie) w celu prawidłowego działania tej stronki (jej elementów jak np. ankiety, reklamy itp.) oraz zbierania statystyk. Korzystanie z tego bloga powoduje zapisywanie typowych plików na Twoje urządzenie (np. komputer, tablet itp.) o ile w ustawieniach przeglądarki nie zmienisz tego.

W UE się ludziom w głowach przewraca, więc dla świętego spokoju zamieściłem to absurdalne ostrzeżenie...