Открыв недавно в Опере Мини главную гугла, я с удивлением обнаружил, что уже авторизован в нём. Странным это было по двум причинам:
- Аккаунт был чужой.
- Коммуникатором никто, кроме меня, не пользовался.
Мгновенно забыв что собирался искать, я нажал на Gmail… и увидел чужую почту.
Судя по заголовкам писем, ящик принадлежал кому-то из Сербии. Среди прочего, там были сообщения о восстановлении паролей от YouTube и скайпа. Написав об проблеме владельцу аккаунта с его собственного ящика, я задумался: как такое вообще могло случиться?
Первое (и пока единственное) что приходит в голову — на время сессии куки гугла сохраняются на сервере, через который работает мобильный браузер. Если не выйти из системы явно, куки остаются в наследство тому, кто следующим зайдёт на гугл. По идее, не исключено и одновременное использование аккаунта несколькими пользователями.
Поиск вывел на свежий топик форума поддержки Оперы Мини. Там сообщается об аналогичной проблеме, только с более невинными проявлениями — отображение чужих результатов недавнего поиска, использование чужих настроек. Самое интересное — это что Опера утверждает, что это не является проблемой безопасности:
Opera have looked at my problems and suggest it’s not a security issue. (
источник)
Мораль истории — пока лучше воздержаться от использования Opera Mini для важных сервисов. Да, и по завершении работы полезно будет нажать “Sign Out”.
P.S. Спасибо разработчикам GMail, которые для смены пароля требуют ввести текущий; иначе любой случайный посетитель мог бы увести чужой аккуант. Но даже и не имея возможности сменить пароль к почте, злоумышленник может “увести” все аккаунты зарегестрированные на этот адрес.
P.P.S. Технические подробности для интересующихся. Использовался WM6 девайс, и Opera Mini hifi ardentopium 4.0.10222 20080207 (официальная, насколько я помню). Внизу страницы гугла было написано: “Last account activity was 11 hours ago from (сербский IP)”.
Оригинал статьи