Уязвимость в службе восстановления паролей ICQ

(теоретически позволяет получить доступ к любому UIN)

Решив восстановить давно забытый пароль к старой аське, зашел на сайт ICQ. Первой мыслью было, что восстановить получится, как обычно, через почту; но, как оказалось, к этому UIN не был привязан почтовый ящик. Тогда и решил обратиться в тех. поддержку, написав о проблеме в соответствующей форме. Через некоторое время на почту пришло письмо, в котором они просили указать мои основные данные: дату регистрации, почтовый ящик, секретный вопрос и ответ на него, указанные при регистрации. В ответе на письмо указал примерную дату регистрации, после чего они попросили указать UIN’ы тех, с кем я чаще всего общался. Выслал 7 номеров, из этих 7 номеров они выбрали 2 и сказали, чтобы их владельцы обратились в Онлайн-поддержку по номеру 608987282 с подтверждением, что именно я являюсь владельцем аккаунта с указанием номера заявки в сообщении. Проверив, кто является владельцами этих номеров, понял, что просить их написать в службу поддержки бессмысленно, так как их давно не было в сети. Со слов тех.поддержки, нет других способов восстановить пароль без подтверждения, но добавили, что достаточно подтверждение от 2-3 контактов. Я решил написать от имени кого-то из 5 других контактов, в этот список входил товарищ, которого я знаю лично и попросил его написать сообщение с подтверждением. Его подтверждение было принято, осталось найти еще одно. Ради интереса решил написать со своего другого номера (который не входил в тот список из 7 UIN, с кем я чаще всего общался). В процессе общения с Онлайн-поддержкой, понял, что там сидит бот, так как он принял только сообщение содержащее номер заявки, и ничего более, на любые другие сообщения он отвечал с просьбой уточнить номер заявки. Спустя некоторое время на почту пришло письмо с просьбой указать активный и не связанный ни с каким UIN почтовый ящик. Написал свой адрес, после чего получил доступ к аккаунту. То что в Онлайн-поддержке сидит бот, и то что подтверждение может быть не обязательно от контактов, с которыми чаще всего общался, показалось мне уязвимостью в ICQ. Этот способ решил проверить на ICQ аккаунте своего коллеги (он был не против).

Порядок действий:

  1. Выбираем цель (UIN).
  2. Регистрируем новый почтовый ящик (не обязательно).
  3. Пишем в тех.поддержку, что не можем восстановить пароль. Выслать его на прикрепленную почту не получится, так как почту украли.
  4. Тех.поддержка запрашивает основные данные (дата регистрации, привязанная почта, секретный вопрос).
  5. Смотрим данные пользователя, там может оказаться и почта, и дата регистрации. Если их нет, включаем смекалку и пытаемся додумать, какие это могут быть данные. Почту можно и погуглить по UIN, а дату регистрации указать в диапазоне.
  6. После чего тех. поддержка запрашивает ответы на секретные вопросы (их мне задали два). Без смекалки никуда, выдумываем. Я ответил, что пробовал на их сайте отвечать на данные вопросы и они были неверными. Но все-равно приложил варианты.
  7. Они запрашивают UIN контактов, с которыми чаще всего общались.
  8. Тут я был почти честен, и указал контакты, с кем я чаще всего общаюсь, указал контакты своих друзей, которых лично знаю и которые бывают в асе (всего 4 контакта, два моих и два друга).

А дальше я думаю вы догадались что было 🙂

Конечно данный способ не гарантирует 100% угона или восстановления пароля (почту можно и не угадать или не хватит смекалки), но то, что тех. поддержка не определила с теми ли я контактами общался или нет, от тех ли контактов пришло подтверждение или нет, является уязвимостью в их системе.

Спасибо!

P.S.: Конечно, об этом я в первую очередь сообщил в тех.поддержку, они сказали что у них все ОК :-)

< Назад

Работает на MdBlogGenerator