ICQMAILC.COM - новый баг icq!

Существует три вида известного сервиса «ICQMAIL» (первые два уже в прошлом):

* Старейший icqmail - http://company.icq.com/info/press/press_release29.html
* Прошлый icqmail - http://www.mail2world.net/net/company/pr11-22-2004.asp
* Текущий icqmail (бета) - http://www.icqmail.com/

В ноябре 2004 был найден баг когда ICQ-пользователь использовал старейший ICQ Mail и регистрировал ICQMail-аккаунт, при этом регистрировался также названный AIM-ник (например при регистрации user23456@icqmail.com, регистрировался AIM-ник «user23456»).

Потому что AIM старее, чем ICQMail и потому что множество AIM-ников уже были зарегистрированы, пользователям ICQ сложно было выбрать себе свободный для регистрации ICQMail.

Некоторые люди сделали «брутфорс» и было найдено то, что некоторые из старых ICQMail-аккаунтов имеют уникальный общий пароль — «123456». Было возможно войти в аккаунт ICQMail-аккаунт одного из основателей ICQ (Yair Goldfinger — ICQ# 80000) с паролем: 123456 (сейчас это доступно на icqmailc.com).
Хакер получил возможность взломать ICQMail (двумя различными способами) через универсальный пароль (данный метод работает на некоторых аккаунтах) или взломать admin@icqmail.com который имеет панель управления системы ICQMail (метод работающий на всех ICQMail аккаунтах) в опциях которой, была возможность возвращать ранее упомянутые автоматически созданные AIM-ники, пароли которых совпадали с ICQMail аккаутом привязанным к номеру ICQ. Пароли AIM-ников были равны «p_icqпароль» (например, если на AIM-нике пароль был «p_miracle», пароль на номере ICQ был: miracle). Взломщику нужно было лишь удалить «p_» из пароля к аккаунту AIM для взлома ICQ аккаунта.

Большинство номеров было присоединено к ICQMail, то есть присоединенные к старым ICQMail-аккаунтам (old style ICQMails). Большая часть таких аккаунтов имеет универсальный пароль «123456». Таким образом, влом их был возможен через страницу восстановления пароля AIM-аккаунта — http://www.aim.com/help_faq/forgot_p...d/password.adp

6-го сентября 2008 года много пользователей ICQMail получили данное письмо от администрации ICQ:

Код:
Dear ICQMail user,

In a few weeks ICQ will launch a new mail system designed to enhance
your communication experience with improved security functionality and
integration of your ICQ Mail account with your ICQ instant messenger.

While your email address will continue to be valid through the new
system, any emails or other content currently stored in your email
account will not be transferred. Therefore we urge you to back up any
content in your email account that you would like to save. Once the new
mail system is launched you will not be able to access or transfer any
content currently stored in your email account to the new system.

For any questions or concerns regarding your email account, please visit
our Help Center at: http://www.icq.com/help/

We hope you continue to enjoy the ICQ Mail service with our new system,
and we thank you for using ICQ Mail.

ICQ Team

И в конце октября 2008 года последний вид ICQMail был запушен (доступен всем он стал немного познее). Новый ICQMail представлял из себя AIMMail. Новый ICQMail был более защищенным потому, что сделан на так-называемой «karma» проверкой ICQ пароля. Первые два ICQMail системы были потерянны, но много пользователей были не довольны потерей содержимого их ICQMail-аккаунтов и администрация ICQ написало следующее сообщение http://www.icq.com/help/view_faq.php?faq_id=8024: «Ваши старые E-Mail не перенесены в новую ICQmail систему. Вы можете видеть старые E-Mail адреса в старой системе wwwicqmailc.com, но вы не можете отправлять или получать письма с них.»

Таким образом, предыдущий вид ICQMail доступен на сайте wwwicqmailc.com в конце октября. Аккаунты ICQMail на этом сайте совпадают с паролями на предыдущих версиях ICQMail и не совпадают с текущими паролями нового ICQMail. Как было упомянуто много аккаунтов предыдущего ICQMail имеют универсальный пароль «123456» и они имею такой-же пароль на wwwicqmailc.com.

Существующий «123456» баг на wwwicqmailc.com мог быть использован взломщиками, которые могут сделать сканер, который может проверять какие ICQ-аккаунты имеют ICQMail и какие из них имеют универсальный пароль. Метод сканирования очень простой: номер ICQ может быть введён в поле «ICQMail ID». ICQMail не присоединён если появляется ошибка «Please enter a valid username.». Если к номеру присоединен ICQMail-аккаунт и пароль не «123456», текст ошибки будет содержать «Please enter the correct password for this account.». Иначе, если к номеру ICQ присоединён ICQMail-аккаунт и пароль к нему «123456», то сканер может получить имя ICQMail-аккаунта продолжая вход в систему. Для примера ICQMail ID: 111111, Пароль: 123456, имя аккаунта: glenda111111@icqmail.com

Часто имя аккаунта ICQMail (или первые 8 символов) совпадает с паролем с паролем номера ICQ к которому ICQMail привязан. Для примера: ICQMailID: 203007, Пароль: 123456. Полученный E-Mail: hogemp@icqmail.com, номер ICQ: 203007, пароль: hogemp (конечно сейчас пароль уже другой, но я был информирован что пароль в точности соответствовал)

Простое сканирование аккаунтов icqmailc.com и проверка паролей сделанное хакером может привести к массовому взлому номеров ICQ.

Наверное хорошая идея для исправления данного бага: работа сканера будет не возможна, если администрация ICQ заблокирует вход в icqmailc с номерами ICQ введёнными в ICQMail ID и сделает доступным вход только по E-Mail.