Gadu Gadu nadal niebezpieczne – wykradanie haseł

Jak wiadomo Gadu-Gadu to najsłynniejszy komunikator używany przez internautów do komunikowania się z innymi użytkownikami oraz do wysyłania wiadomości sms. O tym, iż używanie tego komunikatora nie jest za bardzo bezpieczne informowaliśmy i to nie jeden raz.

Oczywiście nie chcę tutaj obrażać autorów i dyskredytować ich znajomość programistyczną, lecz jedynie chcę poinformować o niebezpieczeństwie na jakie jesteśmy narażeni korzystając z „wadliwego i niedopracowanego” produktu.

Otóż na serwisie Interceptor zostały opublikowane wykradzione hasła Gadu-Gadu. Jak już mi wiadomo, Artur Poczekalewicz i Marcin Bukowski odkryli dziurę w skryptach ASP na serwerze firmy obsługującej komunikator Gadu-Gadu. Znaleziona dziura umożliwiała pobieranie z bazy hasła oraz adresu email dowolnego użytkownika o znanym numerze konta (numer UID). Wybierając kolejne lub losowe numery konta można było oglądać hasła użytkowników komunikatora.

Odkrywcy dziury poinformowali o tym zespół Gadu-Gadu, którzy jednak zignorowali informację. Po dziesięciu dniach zespół poprawił błąd, zaś na stronie głównej pojawiła się następująca informacja:

Szanowni Użytkownicy!
W celu poprawienia ochrony kont w serwisie Gadu-Gadu prosimy o zmianę swojego hasła. W tym celu należy wywołać menu Gadu-Gadu, wybrać Ustawienia. W oknie ustawień proszę wybrać sekcję Gadu-Gadu, a następnie wybrac przycisk „Zmień”.
Jednocześnie informujemy że w najnowszej wersji Gadu-Gadu 5.0.3 działają znacznie ulepszone rozmowy głosowe, a także katalog użytkowników (który nie działa w starszych wersjach programu).

Dziękujemy,
Zespół Gadu-Gadu
31 stycznia 2003

W między czasie błąd został jednak odkryty przez inne osoby, które wykorzystały go do wykradania haseł i podszywania się pod użytkowników Gadu-Gadu. Zainteresowane osoby mogą pobrać kod źródłowy programu który umożliwiał wykradanie haseł.

Jak widać ostatnio czarna chmura zawitała progi zespołu Gadu-Gadu. Początkowo sniffer Gadu-Gadu, który umożliwia podsłuchiwanie rozmów, a teraz możliwość wykradania haseł. Pytanie teraz brzmi co następnie ?

Wiadomo zaś, że Gadu-Gadu, bez odpowiednich wtyczek, nie posiada żadnej ochrony przesyłania informacji klient serwer i na odwrót. Kto wie, być może doczekamy się sensownego rozwiązania w nowszych wersjach komunikatora…

Zobacz również:

Lista haseł GG już usunięta
Sniffer Gadu-Gadu raz jeszcze
Gadu-Gadu – hasła również nie są bezpieczne!
Sniffer Gadu-Gadu oraz Gadu Crypt