Stfw.RuВсе файлы пользователей ICQ, которые те передавали в своих сообщениях, до утра сегодняшнего дня можно было свободно скачать с сервера ICQ по адресу http://files.icq.net/files/get?fileId=XXXXXX , где XXXXXX – название файла. Доступ к файлам ограничивался всего лишь 6-значним ключом, состоящим из заглавных букв и цифр. Об этом написал на странице своего ЖЖ блоггер под ником ntv.
Таким образом, легко предсказуемую ссылку на файлы можно было сгенерировать простым сценарием и заполучить доступ к файлам пользователей. Среди обнаруженных на сервере файлов оказались довольно компрометирующие изображения порнографического содержания, копии различных документов, личные фотографии и пр.
Подобный образом были доступны все файл, загруженные через интерфейс files.mail.ru.
Администрация mail.ru оперативно отреагировала на появление подобной информации в публичном доступе и закрыла доступ к домену files.icq.net. При этом файлы еще оставались доступными некоторое время через домен files.mail.ru.
Доступ к файлам с привязкой к владельцу файла (ФИО, номер ICQ) доступен по адресу: http://files.mail.ru/XXXXXX , а предварительный просмотр файлов доступен по ссылкам: http://files.mail.ru/XXXXXX?t=1
Следует отметить, что с подобными проблемами сталкиваются многие контент-провайдеры. Например, относительно недавно каждый желающий мог аналогичным образом подобрать ссылку и просмотреть файлы пользователей сервиса CloudApp.
