LiveInternet рассылает пароли кому попало.

 

Сегодня 03 июня 2013 года мне пришла копия письма с восстановление пароля от счетчика liveinternet. Основной адрес мне не известен, в письме в открытом виде, на неизвестный мне адрес, был отправлен мой пароль в открытом виде. Вот мне очень интересно, каком образом такое могло случиться? 

 

На данный момент никакого ответа от поддержки liveinternet не получено, ждем чего они на это ответят.

Ответ поддержки:

Все методы получения пароля перечислены на странице напоминания пароля,

ссылка на которую вам дана в письме.

http://www.liveinternet.ru/stat/***/?what=reminder

 

Этот человек имеет полный доступ к вашему сайту, может произвольно менять

его содержимое, поэтому он записал в файл

http://***.txt

свой email и получил на него пароль. 

*************************

Отлично, а то что он получил мой пароль, службу поддержки вообще не волнует!

 

 

Upd C сайта хабрхабр

 

29 августа 2011 в 10:48

LiveInternet.ru: как хранятся пароли пользователей 

Создавая сайт, вебмастер первым делом спешит узнать, сколько же посетителей заинтересуются его творением и, если это не домашняя страничка, всеми силами пытается продвинуть свой сайт. Для этого простого счетчика посещений уже не хватает, и он начинает пользоваться общедоступными платными и бесплатными сервисами, предоставляющими такую информацию.

imageГугл и Яндекс со своими инструментами для вебмастеров и метриками, конечно, хороши, но кто пройдёт мимо такого уютного и аккуратного счетчика посетителей, как LiveInternet.ru? Наверное у многие доверяли считать своих посетителей этому сервису, но не многие знали, как на самом деле они обращаются с нашими паролями

Ежедневно появляются и исчезают тысячи доменов, но удалённые домены не всегда плохие… Просто их иногда забывают продлить или не хотят поддерживать дальше. Однажды я нашёл в сети хорошее доменное имя, которое вскоре будет удалено, но траффик с поисковых систем ещё есть. Один из моих проектов имел ту же специфику, и я не преминул воспользоваться таким шансом, получить пару десятков целевых посетителей.

Успешно получив права на домен я сразу создал титульную страничку и хотел разместить на ней счетчик, чтобы проверить, действительно ли на этот домен заходят. Вот тут сервис LiveInternet.ru сказал мне, что счетчик-то уже существует и я могу восстановить пароль следующими способами:
  1. по адресу, указанному в описании сайта в рейтинге LiveInternet;
  2. по любому адресу имя@вашюдомен, указанному на главной странице сайта;
  3. по любому адресу, указанному в файле live-****.txt;
  4. по адресу владельца домена: адрес из whois.
Первый пункт был не для меня, т.к. я не знал, на какой мейл был зарегистрирован счетчик. Второй и третий пункты требовали что-то сделать, а вот четвертый был для меня самым легким. Я отправил запрос на восстановление пароля через мейл, взятый из whois.

На дворе 21 век, и я ожидал получить письмо со ссылкой на восстановление или сброс пароля. Ну или хотя бы временный пароль или специальную ссылку, которые я мог использовать, чтобы сменить пароль на свой, но я получил письмо следующего содержания:

Здравствуйте!

  В сервисе LiveInternet на странице напоминания пароля
  http://www.liveinternet.ru/stat/ваш.домен/?what=reminder
  было запрошено получение пароля к статистике
  сайта ваш.домен.ру на адрес "адрес из whois"


  http://www.liveinternet.ru/stat/ваш.домен/
  пароль: тут был пароль, установленный предыдущим пользователем


  Изменить описание сайта вы можете на странице
  http://www.liveinternet.ru/stat/ваш.домен/edit.html

  HTML-код счетчика, который нужно вставить на страницах сайта,
  вы можете получить на странице
  http://www.liveinternet.ru/code?nick=ваш.домен

  IP-адрес, с которого был запрошен пароль: мой.ip

  По всем вопросам, связанным с работой счетчика и рейтинга
  LiveInternet, обращайтесь по адресу Адрес электронной почты защищен от спам-ботов. Для просмотра адреса в браузере должен быть включен Javascript.

 Успехов!


Успехов! — тут должна быть ироничная улыбка и причин для этого не мало! 

Во-первых, письмо было отправлено на мой почтовый ящик и на ящик, указанный при регистрации счетчика (в данном случае он еще и отличался от доменного имени). 
Во-вторых, мне прислали не новый, а старый пароль, указанный предыдущим владельцем!!! 

Таким образом, я узнал комбинацию мейл/пароль, придуманную бывшим хозяином счетчика. Допустим большинство из нас пользуется разными паролями на новых ресурсах, но если копнуть поглубже, то, признайтесь, и у вас есть такой пароль, который вы используете на форумах, регистрация на которых вам не так важна… да и лень запускать программку генерации паролей. А счетчик… Ну пусть все счетчики будут с одним сложным паролем?

Хорошо, скажете вы, проблема не выдумана и ей можно воспользоваться при условии регистрации домена, оставленного нужным вам человеком. Но что будет, если базу паролей каким-то образом выкрадут с этого сервиса, то опасность грозит не только тем, кто теряет интерес к своим доменам, а всем тем, кто пользуется их счетчиками!

Перед тем, как написать эту статью я, конечно, поставил в известность администрацию liveinternet.ru, но они молчат в ответ и не делали никаких изменений в процедуре восстановления пароля. Я на всякий случай подождал пару дней и даже на их форуме попытался найти хоть кого-то связанного с администрацией, но, наверное, у них есть дела важнее, чем сохранность личных данных пользователей.