Об уязвимости в ICQ сообщил в субботу анонимный блогер, пишущий на LiveJournal под именем ntv. Раньше, когда один пользователь "аськи" пересылал другому файл, их клиенты соединялись напрямую через интернет, объяснил он. Но летом 2010 года владельцем ICQ стала российская Mail.ru Group; с тех пор, пишет блогер, файлы закачиваются на ее серверы, а получателю отправляется только ссылка http://files.icq.net/files/get?fileId=XXXXXX, где XXXXXX — динамически генерируемый набор букв и цифр.

Зная последовательность этих символов, можно скачать любой файл, делает вывод блогер и приводит в подтверждение своих слов несколько десятков фотографий, скачанных, по его утверждению, из "аськи".

Поиск конкретного файла сводится к перебору примерно 2 млрд комбинаций, подсчитали авторы сервиса блогов Habrahabr.ru. Но в выходные в интернете появилась специальная программа (java-скрипт), позволяющая скачать из "аськи" все файлы подряд, объясняет блогер. В воскресенье доступ к этому архиву уже был закрыт, сообщил ресурс Securitylab.ru.

Скрипт, действия которого блокировала Mail.ru Group, мог скачать лишь файлы, пересланные через ICQ недавно: они хранятся на сервере ограниченное время, а затем удаляются, говорит сотрудница пресс-службы Mail.ru Group. По ее словам, это первый случай, когда кто-то попытался скачать эти файлы, воспользовавшись тем, что для обмена ими ICQ использовала короткие ссылки, а не такие длинные, какие генерирует, например, почта Mail.ru. Риски для пользователей ICQ она считает крайне незначительными: файлы, которые могла скачать программа, не содержат данных о том, кто и кому их пересылал. А теперь в ICQ введены такие же безопасные длинные ссылки, как и в других сервисах Mail.ru Group, говорит она.

Эксперт по информбезопасности компании "Андэк" Олег Глебов советует пользователям ICQ, пересылавшим фото, на время заблокировать от внешних просмотров свои аккаунты — прежде всего в соцсетях: получив анонимные фото, злоумышленники могут использовать средства поиска похожих изображений. А впредь он рекомендует передавать файлы в мессенджерах строго в запароленных архивах.