From: "akkuant-akkuant" <akkuant-akkuant@yandex.ru>
Sender: akkuant-akkuant@yandex.ru
To: ******
Cc: ******
Reply-To: akkuant-akkuant@yandex.ru
Date: 12.09.2006, 21:03:46
Subject: *******
--------------------------------------------------------------------------------


Уважаемый пользователь!!!
К сожалению, на Вашем счету был обнаружен факт двойного доступа к нашему
серверу, т.е в одно и то же время, используя Ваш пароль, в систему вошли два
пользователя. Вследствие чего возникла необходимость в смене Вашего текущего
пароля доступа к электронной почте.
Вам необходимо ответить на это письмо, используя следующий формат:
Log: ваш логин
op: настоящий пароль к e-mail
np1: ваш новый пароль к e-mail
np2: ваш новый пароль к e-mail
Эти сведения должны находиться в начале Вашего сообщения. Обратите внимание на
то, что новый пароль должен быть повторен дважды! Это необходимо для точной
идентификации Вашего пароля. Рекомендуется прислать свои сведения до 30.09.2006,
т.к по истечении этого срока возможно удаление Вашей электронной почты.
Желаем вам успехов!!!
С уважением администрация Yandex

ЗЫ. А я вначале повелсо писец как, потом думаю какого хрена если я сижу на
Мастерхосте мне пришло письмо с яндекса, тем более с такого левого ящика.

+1
самый прикол что даже не указали в какую систему вошли 2 пользователя, а я сидел
думал какую систему: физ. сервак или почта. Вот до сих пор не понял, что они
хотели.

реально развод ;-) ...

останешсо без почты, будешь знать=)

Три восклицательных знака жгут :-D

А вот тоже подобный угар, зацените.
Правда довольно-таки много читать, наверное...


Здравствуйте!
Все знают про систему восстановления паролей на почтовых серверах таких как
mail.ru, rbcmail.ru и т.д.Существуют всякие системы аля "Забыл пароль" в котором
вас спрашивают ответ на секретный вопрос, данные, которые Вы вводили при
регистрации и т.п. Но самое интересное, что этим занимается не человек, а
машина, т.е. обычная программулина !!!! А если есть программа - есть в ней дыра.
Теперь приступим к описанию конкретных действий.
Тут все просто. По адресу mail-robotic@mail.ru сидит mail-робот, который
анализирует запросы на восстановление пароля и в зависимости от этого либо
уточняет ваши данные, либо сразу шлет пароль. На сайте есть форма для заполнения
с всевозможными параметрами, которая потом шлется роботу со специальным
Subject'ом. Фишка в том, что если в сабжект впихнуть не один, а два запроса, то
проверятся будет последний ящик, а информация будет выслана для второго! Так
шевелим мозгами... Правильно! Высылаем два запроса: в одном сообщаем инфу о
ящике жертве, во втором инфу о своем (о своем то мы все знаем )
Итак, мы хотим обломать vasya_pupkin@mail.ru
Наш ящик hacker@mail.ru пароль qwerty
Пишем письмо роботу на mail-robotic@mail.ru
Subject: login=vasya_pupkin&pass=&answer=;login=hacker&pass=qwerty&answer=
Т.е. первый раз вставляем в тему письма запрос о ящике-жертве -
vasya_pupkin@mail.ru : login=vasya_pupkin&pass=&answer=
А потом, через точку с запятой второй запрос, с вашими данными, которые робот
проверит и убедится, что они правильные!
login=hacker&pass=qwerty&answer=
Итого : тема сообщения выглядит вот так :
login=vasya_pupkin&pass=&answer=;login=hacker&pass=qwerty&answer=
Все, ждите пасс на ваше мыло!!! (Answer = ответ на секретный вопрос, но
прокатывает и без него, запросы разделяются точкой с запятой. Удачи кул хацкеры)

жоска!