Security Teams



:::
  Ответ в темуСоздание новой темы

> Промахи mail.ru
nameless
Дата 30.07.2007 - 01:01
Цитировать сообщение
Offline



.:Тень:.
******

Профиль
Группа: -experts-
Сообщений: 1745
Пользователь №: 18
Регистрация: 19.02.2005



Рейтинг:
(90%) XXXXX


Прекрасный инструмент для сбора живых адресов электронной почты предоставляет крупнейший в рунете портал mail.ru. Зайдите на любой из проектов компании и кликните на имя любого пользователя. Вы перейдете на страничку с адресом вида:

название_проекта.mail.ru/mail/аккаунт_почты

Количество пользователей на одном только проекте “Ответы” превышает 5 миллионов человек, и можно предположить, что, как минимум, по одному вопросу каждый задал. Таким образом, каждый из них “засветил” свой адрес электронной почты. Обработка данных страниц и получение адресов - дело техники.

Любое действие на проектах mail.ru приводит к выставлению вашего адреса для автоматических сборщиков адресов электронной почты!

Впрочем, можно даже не участвовать в проектах, достаточно лишь зарегистрироваться на почте. Этого действия уже достаточно, чтобы предоставить замечательный сервис по валидации адресов электронной почты на серверах компании. Вводите название_проекта.mail.ru/mail/аккаунт_почты и смотрите - если имя рядом с собачкой М-агента сменилось, значит пользователь существует, если собачка зеленая - тем более существует и более того активно использует М-агент.

А участие в проектах, дает возможность сбора разнообразнейшей статистики, как например его активность! Можно вообще составить индивидуальный портрет пользователя в зависимости от того, какими сервисами он пользуется, в какие категории добавляет фотографии или опросы, а дальше рассылать рекламу узкозаточенную под каждого конкретного пользователя. Эффективность повышается в разы! Использование данных о пользователях ограничивается лишь фантазией и целесообразностью практического применения.

Оригинал тут - https://blog.webrule.ru/index.php/archives/123#more-123


--------------------
Мы расправим крылья
PM
Top
drmist
Дата 30.07.2007 - 06:23
Цитировать сообщение
Offline



Professional
*****

Профиль
Группа: -users-
Сообщений: 1165
Пользователь №: 222
Регистрация: 14.04.2005



Рейтинг:
(0%) -----


Более того - ссылка на рисованую собаку, определяющую, онлайн юзер, или нет, имеет формат https://www.mail.ru/agent?message&to=[почтовый ящик], что значительно упрощает сбор адресов. "Эксплоит" здесь:

https://www.security-teams.net/board/index.php?showtopic=5118

--------- добавлено -----------


Что интересно, о баге в своем блоге писал господин Алекс Экслер еще в далеком 2005-ом:

https://exler.ru/expromt/16-12-2005.htm


--------------------
Когда нельзя еще больше хочется...
PMСайт пользователя
Top

Опции темы Ответ в темуСоздание новой темы