Донецкий техникум промышленной автоматики

Блоги на Mail.ru - ласкаво просимо, панове спамери!

Блоги на Mail.ru - ласкаво просимо, панове спамери!

Блоги@Mail Блоги@Mail.ru - це ваш особистий простір, ваш світ на Mail.Ru. Тут ви можете: створити свій щоденник, читати і коментувати щоденники інших користувачів, брати участь в спільнотах на цікаві теми і створювати свої співтовариства.

Так написано на головній сторінці нового сервісу Mail.ru - Блоги@Mail.ru . І правда, ми можемо створювати свій щоденник, читати і коментувати щоденники інших користувачів, брати участь і так далі. Тільки щодо зовсім вже особистого простору на "мейл", мабуть, злегка лукавлять. Ніякого чисто особистого простору там немає. Через зовсім невеликий проміжок часу все блогери Mail.ru і всі зареєстровані на Mail користувачі, які пишуть коментарі, виявляться в спамерських базах, після чого їх почнуть зі страшною силою бомбити спамом.>

Як це? Та дуже просто. На Mail.ru подбали про те, щоб з їх блогу отримати поштові скриньки користувачів не становило жодних труднощів навіть повним профанів, не кажучи вже про досить просунутих фахівцях, якими нині є спамери (воно й зрозуміло, бізнес-то вельми вигідний, поки їх не садять і не каструють).

Отже, проводжу сеанс чорної магії з наступним викриттям. Заводжу на Mail.ru ящик з яким-небудь простеньким назвою - наприклад, [email protected] . (Це щоб все показати на прикладі пташок-метеликів, а не реальних користувачів.) Завожу блог для цього джентльмена. Пишу в блог яке-небудь повідомлення. Його може побачити будь-хто, відкривши цей блог за адресою blogs.mail.ru/mail/paranoidalnik :

ru/mail/paranoidalnik   :

Начебто зверху все чисто, ніякого e-mail, так? Посилання веде на блог, а не на ящик, так що все стерильно. Але підведемо курсор миші до заслання "Додати в Друзі". І подивимося, що нам напишуть в рядку статусу. А ось що:

А ось що:

Це що? Це моя рідна параноїдальний адреса на Mail.ru. В абсолютно відкритому вигляді.

А тепер зазирнемо в HTML-код цієї сторінки (адже спамери діють не мишкою, а роботами, правильно?). Там виявляємо рядок, яка взагалі видає всю інформацію: e-mail, ім'я блогу і ПІБ.

<a href="http://www.mail.ru/agent?message&to= [email protected] "> <img src = "http://status.mail.ru/? [email protected]" width = 13 height = 13 border = 0 align = absmiddle> </a> <a href=" /mail/paranoidalnik/ "> Петро параноїдальний </a>

Другий рядок (я її скоротив):

<a href = "/ cgi-bin / journal / jaddfriend? user = [email protected] & back = http

Третій рядок:

<td> <h2> Пошук по блогу </ h2> <a href="http://www.mail.ru/agent?message&to= [email protected] "> <img src = "http: // status. mail.ru/? [email protected] "width = 13 height = 13 border = 0 align = absmiddle> </a> <a href=" /mail/paranoidalnik/ "> Петро параноїдальний </a> </ td>

І це - на сторінці ВСІХ користувачів блогів. Але якщо ви думаєте, що там можна витягти тільки адреси власників блогів, то ви сильно помиляєтеся. Відкривши сторінку коментарів до будь-якого запису, в html ви виявите адреси всіх зареєстрованих на Mail користувачів, які писали свої замітки до цього запису. Ось, наприклад, взяв я першу-ліпшу сторінку з коментарями. Відкриваємо її в html і тупо шукаємо рядки @ mail.ru, @ list.ru, @ bk.ru (різні домени пошти на Mail.ru). Ось що отримали (адреси я спотворив):

[email protected]
[email protected]
[email protected]
[email protected]

А тепер тупо заходимо на головну сторінку блогів, де інформація оновлюється практично кожну хвилину, і повторюємо експеримент там. Ось адресочкі (спотворені):

[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
sh34ica1345_у[email protected]

Це адреси власників блогів. На головній сторінці вони вже тим більше не зрозуміло навіщо потрібні, але в тексті присутні по повній програмі. Причому через хвилину можна отримати наступні 2-3 десятка адрес (вони ж там весь час змінюються), ще через хвилину - чергову пару десятків. Скільки це вийде за добу? 20 * 60 * 24 = 28 800 адрес. Ну, будемо вважати, що частина все-таки повторюється - нехай буде навіть 20 тисяч. За тиждень - 140 000. За месяцок - півмільйона. Тобто адреси ВСІХ користувачів блогів, які хоч раз щось написали в блозі, можна отримати за вельми осяжний часовий проміжок. За пару тижнів. Це я ще розглядав тільки один спосіб, яким користуються спамери для отримання реальних e-mail-адрес. А їм з такою організацією до захисту адрес можна взагалі не напружуватися! Так-так, навіщо якогось робота на головну сторінку запускати? береш "Яндекс" і просиш його знайти на блозі все адресочкі. Вони ж там відкриті, так що немає проблем! Ось, наприклад, абсолютно тупий і простенький запит - для прикладу.

Це, хлопці, не спамерських інструмент. Це пошукова система.

Таким чином, ми прекрасно бачимо, що адреси користувачів в блозі не просто не захищені, а взагалі як ніби навмисне підносяться спамерам на тарілочці з блакитною облямівкою. Тим часом пункт 12 енциклопедії юних бабаків Користувальницької угоди що свідчить? цитую:

12. Таємниця листування і конфіденційність Mail.ru

У межах функціонування Mail.ru забезпечується таємниця повідомлень і дотримується конфіденційність інформації про користувачів Mail.ru, за винятком випадків, передбачених законодавством Російської Федерації.
Користувач дає згоду на використання персональної інформації Власником Mail.ru в узагальненому вигляді з метою проведення маркетингових досліджень і таргетингу на сайті Mail.ru, при тому, що адреси електронної пошти не будуть передаватися третім особам.

Ну, формально безпосередньо вони не передаються. Але отримати їх тепер може абсолютно будь-який бажаючий. Мені здається, що угода таким чином все-таки порушується. Причому досить кричущим чином. Можна, звичайно, напружитися і порахувати спамерів повними ідіотами, але практика показує, що вони повними ідіотами аж ніяк не є. Так що, дорогі блогери на Mail.ru, готуйте шухлядки. Поштовий механізм на Mail.ru, звичайно, зі спамом певним чином бореться, але це, по-перше, не панацея, як багато хто з вас давно переконалися, а по-друге, виходить, що однією рукою борються, а інший здають ваші адресочкі зі усіма потрохами. Причому швидко і без жодних проблем.

Сумно, дівиці. Як такий потужний сервіс міг допустити подібний кошмарний прокол - не розумію. Сподіваюся, що вони все-таки будуть стурбовані питанням якнайшвидшого закриття цієї диріщі. (Хоча ясно, що вже запізно, бо мегатонни реальних адрес збережені в пошукових системах і отримати їх звідти не складає труднощів.) Тим більше що взагалі не зрозуміло, в чому необхідність тримати в HTML e-mail-адреси користувачів. Вони там ніяк не використовуються. Ну хіба що тільки для спамерів. Ось їм тепер - повна лафа.

PS Дякую Максиму Бабичу за надані дані, які допомогли в написанні цієї статті.

Адже спамери діють не мишкою, а роботами, правильно?
Ru/agent?
Ru/?
Ru/agent?
Ru/?
Скільки це вийде за добу?
Так-так, навіщо якогось робота на головну сторінку запускати?