Блоги на Mail.ru - добро пожаловать, господа спамеры!

Блоги@Mail.ru - это ваше личное пространство, ваш мир на Mail.Ru. Здесь вы можете: создать свой дневник, читать и комментировать дневники других пользователей, принимать участие в сообществах на интересные темы и создавать свои сообщества.

Так написано на главной странице нового сервиса Mail.ru - Блоги@Mail.ru. И правда, мы можем создавать свой дневник, читать и комментировать дневники других пользователей, принимать участие и так далее. Только насчет совсем уж личного пространства на "Мейле", пожалуй, слегка лукавят. Никакого чисто личного пространства там нет. Через совсем небольшой промежуток времени все блоггеры Mail.ru и все зарегистрированные на Mail пользователи, которые пишут комментарии, окажутся в спамерских базах, после чего их начнут со страшной силой бомбить спамом.

Как это? Да очень просто. На Mail.ru позаботились о том, чтобы из их блога получить почтовые ящики пользователей не составляло никакого труда даже полным профанам, не говоря уж о весьма продвинутых спецах, коими нынче являются спамеры (оно и понятно, бизнес-то весьма выгодный, пока их не сажают и не кастрируют).

Итак, провожу сеанс черной магии с последующим разоблачением. Завожу на Mail.ru ящик с каким-нибудь простеньким названием - например, paranoidalnik@mail.ru. (Это чтобы все показать на примере птичек-бабочек, а не реальных пользователей.) Завожу блог для этого джентльмена. Пишу в блог какое-нибудь сообщение. Его может увидеть любой желающий, открыв этот блог по адресу blogs.mail.ru/mail/paranoidalnik:

Вроде сверху все чисто, никакого e-mail, да? Ссылка ведет на блог, а не на ящик, так что все стерильно. Но подведем курсор мыши к ссылке "Добавить в Друзья". И посмотрим, что нам напишут в строке статуса. А вот что:

Это что? Это мой родной параноидальный адрес на Mail.ru. В совершенно открытом виде.

А теперь заглянем в HTML-код этой странички (ведь спамеры действуют не мышкой, а роботами, правильно?). Там обнаруживаем строчку, которая вообще выдает всю информацию: e-mail, имя блога и ФИО.

<a href="http://www.mail.ru/agent?message&to=paranoidalnik@mail.ru"><img src="http://status.mail.ru/?paranoidalnik@mail.ru" width=13 height=13 border=0 align=absmiddle></a> <a href="/mail/paranoidalnik/">Петр Параноидальных</a>

Вторую строчку (я ее сократил):

<a href="/cgi-bin/journal/jaddfriend?user=paranoidalnik@mail.ru&back=http

Третью строчку:

<td><h2>Поиск по блогу</h2><a href="http://www.mail.ru/agent?message&to=paranoidalnik@mail.ru"><img src="http://status.mail.ru/?paranoidalnik@mail.ru" width=13 height=13 border=0 align=absmiddle></a> <a href="/mail/paranoidalnik/">Петр Параноидальных</a></td>

И это - на странице ВСЕХ пользователей блогов. Но если вы думаете, что там можно вытащить только адреса владельцев блогов, то вы сильно ошибаетесь. Открыв страницу комментариев к любой записи, в html вы обнаружите адреса всех зарегистрированных на Mail пользователей, которые писали свои заметки к данной записи. Вот, например, взял я первую попавшуюся страничку с комментариями. Открываем ее в html и тупо ищем строчки @mail.ru, @list.ru, @bk.ru (различные домены почты на Mail.ru). Вот что получили (адреса я исказил):

v1o223coff@list.ru
j2e46a34n-li234da@mail.ru
k234at4ya_b4r3o90it@bk.ru
gh2b7r8j9k0@mail.ru

А теперь тупо заходим на главную страницу блогов, где информация обновляется практически каждую минуту, и повторяем эксперимент там. Вот адресочки (искаженные):

an5a6s4ta26siya_ko46val@list.ru
mas345hka92@mail.ru
life_9789fu98ck@mail.ru
byte788s8d9gn@mail.ru
frei4323y@mail.ru
maxs24s_2@mail.ru
na2s23j2st@mail.ru
deo423n3x@bk.ru
22m4e3n@mail.ru
ser234ge3_kozhin@mail.ru
a66878997@mail.ru
ai432rs@mail.ru
ele223432rik_artur@mail.ru
jazzmas321r@list.ru
liya531123@mail.ru
sim23a_ast2342ana@mail.ru
gu2zelk4323490@bk.ru
sh34ica1345_у52@list.ru

Это адреса владельцев блогов. На главной странице они уж тем более не понятно зачем нужны, но в тексте присутствуют по полной программе. Причем через минуту можно получить следующие 2-3 десятка адресов (они же там все время меняются), еще через минуту - очередную пару десятков. Сколько это получится за сутки? 20 * 60 * 24 = 28 800 адресов. Ну, будем считать, что часть все-таки повторяется - пусть будет даже 20 тысяч. За недельку - 140 000. За месяцок - полмиллиона. То есть адреса ВСЕХ пользователей блогов, которые хоть раз что-то написали в блоге, можно получить за весьма обозримый временной промежуток. За пару недель. Это я еще рассматривал только один способ, которым пользуются спамеры для получения реальных e-mail-адресов. А им с такой организацией к защите адресов можно вообще не напрягаться! Да-да, зачем какого-то робота на главную страницу запускать? Берешь "Яндекс" и просишь его найти на блоге все адресочки. Они же там открытые, так что нет проблем! Вот, например, совершенно тупой и простенький запрос - для примера.

Это, ребята, не спамерский инструмент. Это поисковая система.

Таким образом, мы прекрасно видим, что адреса пользователей в блоге не просто не защищены, а вообще как будто нарочно преподносятся спамерам на тарелочке с голубой каемочкой. Между тем пункт 12 энциклопедии юных сурков пользовательского соглашения что гласит? Цитирую:

12. Тайна переписки и конфиденциальность Mail.ru В пределах функционирования Mail.ru обеспечивается тайна сообщений и соблюдается конфиденциальность информации о пользователях Mail.ru, за исключением случаев, предусмотренных законодательством Российской Федерации. Пользователь дает согласие на использование персональной информации Владельцем Mail.ru в обобщенном виде в целях проведения маркетинговых исследований и таргетинга на сайте Mail.ru, при том, что адреса электронной почты не будут передаваться третьим лицам.

Ну, формально напрямую они не передаются. Но получить их теперь может абсолютно любой желающий. Мне кажется, что соглашение таким образом все-таки нарушается. Причем весьма вопиющим образом. Можно, конечно, напрячься и посчитать спамеров полными идиотами, но практика показывает, что они полными идиотами уж никак не являются. Так что, дорогие блоггеры на Mail.ru, готовьте ящички. Почтовый механизм на Mail.ru, конечно, со спамом определенным образом борется, но это, во-первых, не панацея, как многие из вас давно убедились, а во-вторых, получается, что одной рукой борются, а другой сдают ваши адресочки со всеми потрохами. Причем быстро и безо всяких проблем.

Грустно, девицы. Как такой мощный сервис мог допустить подобный кошмарный прокол - не понимаю. Надеюсь, что они все-таки озаботятся вопросом скорейшего закрытия этой дырищи. (Хотя ясно, что уже поздновато, потому что мегатонны реальных адресов сохранены в поисковых системах и получить их оттуда не составляет труда.) Тем более что вообще не понятно, в чем необходимость держать в HTML e-mail-адреса пользователей. Они там никак не используются. Ну разве что только для спамеров. Вот им теперь - полная лафа.

***

P. S. Спасибо Максиму Бабичу за предоставленные данные, которые помогли в написании этой статьи.

О взломе моего жж - основной ящик был на мейле.

Найдено у egil_belshevic@lj