Tento málinko bulvárny názov som vymýšľal takmer hodinu. Asi mi dochádza kreativita, alebo ktovie. Ale k téme. Možno ste postrehli, že bývalá jednotka (alebo ešte stále? nejak to nesledujem) slovenského internetu, portál zoznam.sk pomaličky mení a “zdokonaľuje” služby.
Za posledných niekoľko týždňov vymenili ICQ za Jabber, zmenili design, pridali nejaké služby a snažia sa celý portál socializovať. Pravdou je, že na zoznam leziem len v prípade, že mám na to pádny dôvod, napríklad hľadám nejakú zraniteľnosť, alebo mi niekto pošle odkaz. Tak to bolo aj v tomto prípade. Pred pár dňami mi prišiel mail od čitateľa Xanthixa, ktorý ma upozorňoval na príspevok užívateľa rayen publikovaný na portáli kyberia.sk. Rayen si všimol celkom zaujímavého “úkazu”, ktorý vám skúsim prerozprávať vlastnými slovami (lepšie to vidno na samotnom videu).
Keď sa prihlásite do mailovej služby od zoznamu a začnete vytvárať novú poštu a ako odosielateľa sa pokúsite vybrať niekoho z vášho kontakt listu, objaví sa vám zoznam 499 mailov, ktoré zaručenie medzi kontaktami nemáte.
Nemám konkrétne vysvetlenie prečo je to tak, domnievam sa však, že je tam napevno daný kontakt list nejakého nicku. Skúsil som tento postup v niekoľkých kontách a všade bol zoznam rovnaký. Zaujímave však je, že zoznam obsahuje aj meno a priezvisko užívateľa, teda ak ho zadal v profile. Preto sa môžete dozvedieť, komu patria niektoré emaily zo zoznamu. Asi si majitelia týchto emailových schránok takto nepredstavovali fungovanie systému, ktorému dôverujú. Je celkom zarážajúce, že zoznam si pri nasadzovaní nového systému nerobí hlavu s bezpečnosťou svojich užívateľov. Pravdou je, že na zozname je obrovské množstvo bezpečnostných chýb, ktoré sú aktívne ignorované.
Aj to je dôvod, prečo nerozumiem užívateľom, ktorí ešte stále využívajú tento dosť nechutný email od zoznamu. Určite je možné nájsť veľké množstvo iných, oveľa profesionálnejších a bezplatných riešení, alebo si jednoducho za pár korún kúpiť doménu a využívať na nej iba email. Nuž, každý podľa chuti a ak sú užívatelia aj naďalej spokojní, tak je to ich vec.
Zoznam emailov som sa rozhodol nezverejňovať, tu je však spomínané video.
Tento objav som nahlásil zoznamu a ak sa rozhodnú vyjadriť, vyjadrenie neskôr doplním.
Zaujal vás článok? Sledujte ma na Twitteri.
Ja som sa rozhodol, že zoznam.sk budem spamovať, pokiaľ nebudú aspoň odpovedať. Napísal som im slušne, že aké majú chyby na svojich stránkach a oni neodpísali. Tak som im napísal druhýkrát, tentokrát som to poslal na všetky maily na kontaktnej stránke http://media.zoznam.sk/?a=6&s=104 . Samozrejme neodpovedali, tak pokračujem ďalej, pokiaľ niečo nedosiahnem.
Pridá sa niekto ku mne?
cize vyvinuli “Naseptavac” do kolonky Komu a tento nastavili nejakym nedopatrenim tak, ze nevybera len z osobneho adresara ale dajme tomu z celej databazy weboveho postoveho klienta?
Hm… v istom zmysle je to korporatne spravanie sa – v beznej firme je lepsie mat centralny adresar a ludia si nemusia riesit svoj osobny kvoli kolegom.
Ako napad je to dobre :-) ako webmail uzivatel nemusim uz nikdy patrat kto ma aky email :-)
Prosim este o vytvorenie celovesmirneho emailu v tvare: all@all.all :-)
#1 Ja.:
pastni tu obsah emailu a taktiez tie mailove adresy v 1 riadku a subjekt. mile rad sa pridam a nebudem jediny ( hopefully ) :)
#1 Ja.: nie dakujem, zoznam je u mna na urovni bank, teda spolocnost, ktorej nemienim pomahat
#2 rony: hehe. jasne, rozumieme sa, mne islo o to, ze s tym pravdepodobne asi nesuhlasili ludia v dobe, ked si tam robili emailovu adresu. nie ze by google neukazal, kto vlastni email, ale aj tak. zoznam to proste flaka vo velkom a to je pekne smutne
Já osobně neznám žádný kvalitní freemail. Možná by se sem hodilo dát nějaké tipy. A teď tím myslím kvalitní rozhraní (aby to nrchtělo všechno možné k přihlášení – tedy nezávislost na nastavení – tedy rozhodně ne google), vysoká dostupnost (aby se nestávalo, že se nejde přihlásit půl dne), inteligentní spam filter (tady boduje snad jen google)
#4 oooo: problem je, ze aj keby to ludia vyzadovali, tak taka funkcia by nemala existovat u free webmailu. Vo firme je to pochopitelna a uzitocna vec, na webmaili medzi ludmi bez akehokolvek vztahu trestuhodne :-)
#6 rony: vsak o tom hovoril. ze to tam ludia urcite nechceli, pretoze to je dost na hlavu. proste zoznam fail again. a trapi to niekoho? no ich isto nie.
#5 Accuphose: ja pouzivam google, ale len pop3 a smtp. webove rozhranie nepouzivam a som spokojny. dostupny je vzdy aj v pripade vypadku bol, pretoze zletel len web
Pre oooo: Viem, zoznam.sk si nezaslúži našu pomoc, ale ja tým pomáham aj sebe. Spamovaním im určite nepomôžem, skôr ich naseriem, ale snáď ich to donúti niečo spraviť. Ide totiž o naozajstný problém, keďže je to jeden z najnavštevovanejších slovenských webov (tuším 2. miesto?). Čiže ak im niekto dá infikovaný flash na úvodnú stránku, tak to je aj môj problém, pretože MNE bude volať lama – každý babkinej sesternice bratranca syna synovca kamarát, že nech mu odstránim vírus. Jednoduchšie by bolo to nedostať.
No a tu je mail na požiadanie. Neviem, či je to zrovna najlepšie naformulované, podeľte sa s lepšími verziami :-). Poslal som im to naschvál aj so zoznamom príjemcov, aby bolo všetkým jasné, že to prišlo asi aj ich kolegom. Odpoveď neprišla, posielal som to 16.02.2009 o 23:04. No tak tu to je:
Dobry den
Pisem vam ohladnom informacnej bezpecnosti vasej a hlavne vasich
zakaznikov / navstevnikov. Nepoznam vasich programatorov, ale cela IT
verejnost z tejto branze vie o tom, ze to urcite nie su profesionali. Na
vasich strankach – topky, zoznam, chyba a asi vsetkych, ktore spravuje
vasa spolocnost – je plno bezpecnostnych chyb, ci uz zavaznejsich alebo
menej vaznych. Mnohe z nich su verejne zname uz dlhsiu dobu, niektore
mesiac, niektore pol roka, niektore rok, niektore zrejme aj dlhsie. Keby
islo o Vasu bezpecnost, cert to vem, ale ide o bezpecnost uzivatelov.
Programatorom odkazte, ze na najdenie mnohych chyb staci pouzit google.
Urcite by pomohol bezpecnostny audit, ale vysledok je dopredu jasny uz
teraz. Mnoho chyb vam bolo reportovanych a vy ste s nimi nespravili nic!
Samozrejme ak neratame odignorovanie.
Pisal som vam uz niekolko krat (aby som neprehanal, myslim ze 2x), ale
nebol som jediny. Preto pisem teraz na vsetky maily, ktore su na vasej
kontaktnej stranke http://media.zoznam.sk/?a=6&s=104 , aby som mal
istotu, ze tento mail niekto dostane.
Pokial vasi programatori nemaju dostatocne znalosti na odstranenie
tychto bezpecnostnych chyb, su firmy, ktore im rady pomozu. V pripade
zaujmu mozem pomoct napriklad aj ja. Existuju aj skolenia zamerane na
bezpecnost webovych aplikacii.
Prosil by som o odpoved alebo vyjadrenie, aby som nemal pocit, a nielen
ja, ze ignorujete taketo varovania. V pripade, ze tento mail zostane
medzi ostatnymi ignorovanymi, bohuzial budem nuteny sa opakovat a
nedajboze stupnovat natlak, pretoze vzhladom na navstevnost vasich
portalov ide o celoslovensky problem. Nemate problem ostatnym mediam
hovorit pekne cisla, zvanit o tom, ako sa angazujete v ochrane deti pred
“zlym internetom”, ale zodpovednost mi z vasej strany akosi chyba.
Vyhradzujem si pravo tento text zverejnit, rovnako ako aj vasu odpoved
tak poprosim – odpovedajte s citom.
S pozdravom
(Povodne tu bolo meno, ale potom som si to rozmyslel, pretoze mam
opravnene predsudky voci vsetkym vasim sluzbam – vratane e-mailu)
– Zoznam prijemcov:
obchod@firma.zoznam.sk
obchod-katalog@firma.zoznam.sk
marketing@firma.zoznam.sk
odkazy@zoznam.sk
topky@topky.sk
vyvoj@zoznam.sk
#7 oooo: nič nové? neozvali sa? či to už fixli a nepovedali ani ďakujem ako je u nich zvykom….
#9 Snake: fixli a nic nepovedali, ako je ich zvykom ;)
trochu ich chapem, na ich mieste by som sice prejavoval urcite viac vdacnosti… ale ked to tam pises nejakemu vyssiemu manazmentu, tak na co by ti nieco pisali? Im je to jedno chapes, dostanu svoje dve kila mesacne, vyriesia 50 problemov s ich ITckarmi a ten jeden co si vsimnu na Synopsi blogu pre nich nema ani taku prioritu ked hlavne v tomto pripade o nic neslo… par mailov boze, ved uzivatelia s mailom na zozname vyjadruju svoje poziadavky na kvalitu uz len tym, ze maju mail na zozname :).
#11 olala: Olala, problém je aj v tom, že veľa firiem bezpečnosť ignoruje “zámerne”. Je pre nich dôležité, aby “to fungovalo”, nie aby to bolo bezpečné. Veľa firiem vníma bezpečnosť len ako taký doplnok, ktorému sa ale netreba zbytočne venovať. Veď čas programátora je drahý. Stretávam sa s takým prístupom vo vnútri firiem dosť často. A ich nepresvedčíš, nech sa deje čo sa deje.
To JA
Myslim ze tvoju mailovu adresu velmi uspesne filtruju uz na vstupe ;)
Ano, pisalo sa o mnohych chyba na zozname, zial, nikomu sa napriek tolkym chybam nepodarilo hacknut jednu z najnavstevovanejsich stranok na Slovensku.. cim to asi bude? zeby tie chyby nasla nejaka lama, ktora sa do bezpecnosti vyzna ako autor clanku do internetu???
takych laikov, co si dokazu vytvorit na stranke cez formular alert, je vela.. ludi, ktori to dokazu hacknut a vedia, co je XSS, je naozaj len malo…
#14 anonym: co znamena ze sa nepodarilo hacknut? resp. co to v tojom “inteligentnom” slovniku znamena? ked ozrejmis tento pojem, tak ti mozno dam aj primeranu odpoved