Брут почты что это
Уязвимость в почте mail.ru, позволяющая сменить пароль на любом ящике без секретного вопроса
Наверняка, многое задавались вопросом: «можно ли взломать почту майл?«. А если и можно, то как это сделать? Насколько сложен этот процесс? В данной статье я раскрою завесы тайн…
Способов есть несколько: есть варианты с помощью вирусов — для этого на компьютер жертвы «запускается» вредоносный файл (стиллер), который крадет информацию о введенных паролях и сохраненных паролях. На данной стадии этот вариант не эффективен, так как большую часть стиллеров вылавливают антивирусы и получить так пароли достаточно тяжело.
Еще один способ: При помощи ухищрений через восстановление забытого пароля. Здесь нужно «угадывать» данные через информацию в социальных сетях, либо втираться в доверие к жертве и выведывать инфу для восстановления. Уровень сложности здесь на порядок выше, чем в первом случае.
Ну и напоследок: Один из эффективных методов взлома почты — это подбор пароля Brute mail. Автоматический перебор возможных вариаций пароля к логину до полного соответствия.
Плюсы способа: Нет необходимости «заражать» компьютер жертвы, не нужно с ней знакомится и втираться в доверие. Все за Вас сделает программа для подбора пароля от почты mail.
Все что необходимо знать — всего лишь адрес почтового ящика. Ну и иметь немного терпения.
Для данной операции рекомендую программу Mail Brute. Давно показавшая себя в деле утилита. Обеспечивает подбор пароля в короткие сроки и со 100% совпадением. Работа программы осуществляется через постоянно обновляемые прокси, что обеспечит безопасность «взломщика». Так же имеется система антикапчи, что доводит работу по взлому до полного автоматизма.
Интерфейс программы довольно прост, ничего лишнего, все «внутри».
Поддерживает взлом почты на серверах mail: mail.ru, bk.ru, list.ru, inbox.ru.
Все что необходимо указать — лишь адрес почты и сервер, например pochtamail и выбрать сервер. Затем жмется волшебная кнопка Brute и остается лишь ждать некоторое время: от одного до 3 часов, при этом программу можно свернуть, но не закрывать.
По завершению подбора, программа оповестит Вас звуковым сигналом. В поле Result будет результат — пароль от почты жертвы.
Все достаточно просто и справиться с этим может каждый.
Скачать Mail @ Brute — программу для взлома почты:
Можно ли взломать чужую электронную почту?
Да, электронную почту взломать можно, иначе ежедневно не взламывались бы сотни тысяч почтовых ящиков. Существуют различные способы взлома электронной почты. Некоторые эффективны, некоторые не очень, некоторые вообще неработоспособны.
Если хотите проконсультироваться со мной по поводу взлома почты — напишите мне:В Telegram: +7-926-737-39-63В WhatsApp: +7-926-737-39-63На почту:detalizatsiya.info@gmail.com
Для начала давайте разберёмся с вопросом:
Существует способ самостоятельно бесплатно взломать электронную почту?
Да, существует. Но для того чтобы эти способы сработали, должны соблюдаться определённые условия. Рассмотрим их:
1. Взлом через получение доступа к компьютеру/телефону
Наиболее простой в техническом плане способ. Для его реализации нужно просто незаметно получить доступ к компьютеру или телефону, на котором взламываемый пользователь залогинился в свой почтовый ящик.
Затем можно посмотреть список писем и, при необходимости, переслать нужные на свой почтовый ящик. Главное не забыть удалить пересланные письма из папки «Исходящие», чтобы пользователь ни о чем не догадался.
Плюсы метода:
Минусы метода:
2. Подбор пароля к электронной почте
Это один из наиболее старых методов взлома. Если вы хорошо знаете человека — можете попробовать угадать его пароль (например, попробовать ввести в качестве пароля различные комбинации даты рождения человека). Бывает это срабатывает.
Другой, более продвинутый вариант этого способа — это использование программ для подбора паролей. Такая программа подбирает пароли по словарю наиболее часто используемых в Интернете паролей. Также вы можете составить свой словарь (если есть догадки, каким может быть пароль у жертвы взлома).
Правда, этот способ нельзя назвать абсолютно бесплатным, так как для работы программы, скорее всего, придётся купить список прокси-серверов.
Этот способ не будет работать, если при входе в почтовый ящик, используется двухфакторная аутентификация. То есть, помимо ввода пароля необходимо ввести код, который высылается в смс. Код этим способом подобрать невозможно.
Сейчас эффективность этого метода крайне низкая, так как часто используется двухфакторная аутентификация, а также многие почтовые сервисы не позволяют своим пользователям использовать простые пароли. Тем не менее, попробовать можно — вдруг получится.
Единственное, при скачивании различных программ для подбора паролей — будьте осторожны, часто с их помощью распространяются вирусы и другие вредоносные программы.
Плюсы метода:
Минусы метода:
К сожалению, простых и бесплатных способов взлома почты больше нет. Поэтому переходим к следующим способам. Платным.
Если хотите проконсультироваться со мной по поводу взлома почты — напишите мне:В Telegram: +7-926-737-39-63В WhatsApp: +7-926-737-39-63На почту:detalizatsiya.info@gmail.com
Можно ли взломать почту недорого?
Предложений о недорогом взломе почты несложно найти в Интернете. Стоит ли пользоваться этими предложениями? Есть несколько вариантов таких услуг.
1. Недорогие сервисы для взлома электронной почты
Обычно такие сервисы предлагают свои услуги недорого, где-то до 1000 рублей. Стоит ли платить им? Нет!
Вы просто потратите своё время и деньги. За 1000 рублей никто ничего делать не будет. Вам просто сообщат: «Почтовый ящик взломан! Оплатите услугу», а после оплаты вы ничего не получите. Почему?
Потому что эти сервисы изначально так задуманы.
Кстати! Если вы внимательно почитаете условия работы этих сервисов (на тех сайтах, где эти условия есть), то в большинстве случаев найдёте там чистосердечное признание, что ничего эти сервисы не взламывают, что всё это игра. Либо подобные признания.
И это неудивительно. Как эти сервисы могут взламывать электронную почту? Подбором паролей? Для того, чтобы успешно это делать нужны невероятные вычислительные мощности и огромные затраты времени.
Возможно сервис заявляет, что взлом выполняется за счёт уязвимостей почтового сервиса? Не верьте. Уязвимости в таких крупных сервисах, как Mail.ru, Яндекс, Gmail, Rambler и других возникают крайне редко. И те, кто способен найти их, не будут продавать услуги по взлому по 1000 рублей. Да и живут уязвимости крайне недолго. Уязвимости быстро устраняются.
Поэтому однозначно можно сказать, что такие сервисы — это обман и реальный взлом почты через них невозможен. Но, если не верите, можете попробовать воспользоваться ими — денег потратите немного, за то убедитесь в моих словах.
Плюсы метода:
Минусы метода:
2. Недорогие услуги хакеров по взлому почты (фишинг)
Обычно такие услуги стоят до 10 000 руб. Тут — как повезёт: можете попасть на честного исполнителя, а можно связаться с мошенником.
Обычно такие хакеры пользуются методом, называемым фишинг. Для взлома электронной почты создаётся сайт, который на вид не отличить от необходимого почтового сервиса. Затем владельца ящика, который нужно взломать, хакер каким то образом заставляет перейти на этот сайт и ввести логин и пароль от своего ящика. Таким образом, хакер получает данные для входа от почтового ящика.
Тут важна квалификация хакера, а также наличие необходимых технических средств. Можно найти такие услуги за совсем небольшие деньги, в результате взлом будет осуществлять малоопытный школьник и шансы получить положительный результат будут крайне низкими.
Если же вы найдёте опытного специалиста, который достаточно владеет социальной инженерией (чтобы правильно заставить человека перейти на подставной сайт), техническими средствами, шансы на успех могут доходить до 30-40%, что совсем неплохо.
Кроме того, многие квалифицированные специалисты могут обходить даже двухфакторную аутентификацию. Но найти хорошего специалиста не так уж просто.
Плюсы метода:
Минусы метода:
Если хотите проконсультироваться со мной по поводу взлома почты — напишите мне:В Telegram: +7-926-737-39-63В WhatsApp: +7-926-737-39-63На почту:detalizatsiya.info@gmail.com
А теперь поговорим о наиболее эффективных методах.
Эффективные методы взлома почты
1. Угон почты с использованием уязвимости алгоритма SS7
Это метод временного угона электронной почты у владельца. Здесь используется не уязвимость почтового сервиса, а уязвимость в протоколе, по которому работает сеть мобильного оператора. Технические подробности об этой уязвимости вы можете найти в Интернете по запросу «уязвимость SS7».
В рамках этой статьи достаточно знать, что эта уязвимость позволяет перехватывать смс-сообщения других пользователей мобильной сети. Используя эту возможность и зная номер телефона, привязанный к почтовому ящику, можно перехватить смс с кодом для восстановления пароля и сменить пароль, получив контроль над почтой.
Конечно, владелец ящика сможет восстановить доступ к ящику, но до этого можно успеть выкачать всю необходимую информацию.
Проблема в том, что этот метод сложен в плане технической реализации. Нужны квалифицированные специалисты, оборудование и необходимые связи.
Плюсы метода:
Минусы метода:
2. Помощь сотрудника почтового сервиса
Довольно очевидный и простой, но, вместе с этим, труднореализуемый способ взлома. Он предполагает наличие знакомых, работающих в почтовом сервисе, почту в котором необходимо взломать.
Логично: попросить сотрудника, достать и предоставить вам необходимую информацию из интересующего почтового ящика.
Но, уверен, у вас нет такого знакомого. А если бы и был, то вряд ли согласился бы рисковать своей работой и свободой, чтобы оказать вам помощь. Даже, если бы по какой-то причине он на это согласился, то запросил бы большую сумму денег, так как риск для него получить проблемы — очень велики.
Тем не менее, есть люди, которые работают в почтовых сервисах и готовы продать необходимую информацию. Эти люди сознательно идут на риск и зарабатывают этим солидную добавку к зарплате. Но такие люди не рекламируют свои услуги в Интернете. Поэтому найти их очень сложно.
У меня есть такие инсайдеры в некоторых постовых сервисов, у которых я могу заказать услуги. Но, если вы попытаетесь найти таких людей самостоятельно, вряд ли у вас что-то получится. Даже если вы найдёте инсайдера, он откажется работать с вами, так как волнуется за свою безопасность и работает только с проверенными партнёрами.
Плюсы метода:
Минусы метода:
Что такое брут аккаунтов?
Мы уже очень много рассуждали на тему брут аккаунтов, но все же у многих пользователей остаются вопросы.
Получают такие аккаунты многими способами, в этой статье мы разберем основные из них.
В данной статье мы разберем основные моменты работы с брутом, опасно это или нет и на что в первую очередь нужно обращать внимание. Эти вопросы волнуют пользователей очень часто, потому разберем каждый пункт отдельно.
Если вы хотите купить брут аккаунты различных социальных сетей, то жмите кнопку ниже и выбирайте!
Виды брут аккаунтов
По сути дела это аккаунты живых людей, к которым получили доступ. Доступ это как правило просто пароль от аккаунта. Наш сервис никогда не занимался взломом чужих аккаунтов и не пропагандирует это, мы лишь объединяем продавцов и покупателей, вот и все..
Опасно ли работать с брутом в плане закона?
Да, безусловно опасно, ведь вы будете работать с чужим аккаунтом. Все эти действия являются противозаконными, ведь аккаунт может оказаться популярного человека и он может подать на вас в суд.
Разумеется такое редкость и случается в 0.05% из 100. В большинстве случаев, люди чьи аккаунты взламывают очень далеки от интернета и практически ничего там не знают. Они плохо подкованы в использовании компьютера, у них слабые пароли и они вообще мало что скрывают о себе.
Как правильно работать с брутом?
Если вы встречаете наименование аккаунтов с пометками фейковые, брут или с дампа, то знайте что это аккаунты живых людей. Предупрежден значит вооружен
Купить сейчас Узнайте как правильно оформить заказ на нашем сайте!
Многие клиенты и просто посетители нашего сайт спрашивают нас про использование брут аккаунтов. Спрашивают «А безопасно ли ими пользоваться?» и другие вопросы из этой серии. Не совсем понятно.
Еще недавно сервис «Инстаграм» был типичной программой для размещения фотографий и коротких видеороликов. Сейчас же «Инста» превратилась в полноценную социальную сеть для обмена сообщениями, «сторис».
Интернет сегодня является не просто местом для развлечения или получения новых знаний. В первую очередь – это бурно развивающаяся торговая площадка с лишь одним ограничителем – количеством.
Сайты знакомств давно перестали быть типичными площадками для общения и развлечения. Сейчас подобные сервисы действительно могут поспособствовать обустройству личной жизни пользователей, поэтому их.
Согласно статистике поисковика Яндекс, уже в 2011 году число русскоязычных блогов перевалило за отметку в 5 миллионов. Тем не менее, не всем нравится концепция публикации микро-сообщений. В.
Что такое брутфорс и с чем его едят?
Привет, я бы хотел рассказать о очень интересной теме, о которой мало кто знает. Если ты ничего не понимаешь в этой сфере, добро пожаловать, сейчас я тебе всё объясню
Новичок задает себе подобные вопросы: как брутить аккаунты? где взять прокси? где скачать базу для брута? Данный материал поможет разобраться тебе в этом. А если ты вообще ничего не понимаешь, задавай вопросы 😉
Что необходимо иметь для получения профита в этой схеме?
— Софт (программы)
— Прокси
— Базы (емаил и пароль)
— Нормальный компьютер с быстрым интернетом
— Приват. У многих софтов этого рода есть хороший функционал и скорость, поэтому они стоят некоторых денег. То есть, если хотите получить быстрый окуп затраченных средств, то смело покупайте, но учитывайте, что вам также нужны базы и прокси, которые можно получить бесплатно или купить.
Из всего вышесказанного можно сделать вывод: чтобы получить нормальный софт, не обязательно его покупать, нужно следить за последними крякнутыми и паблик софтами, когда софт только выпускают, он работает почти на уровне приват софта
Прокси также есть двух видов :
— Быстрые приват прокси. Их можно без проблем найти и купить в интернете, благо, сайтов достаточно
— Медленные, но бесплатные прокси. Данные прокси выложены в паблик, соответственно, их может найти каждый, следовательно, больше нагрузка на прокси-сервер и ниже скорость чека.
Советую искать всегда SOCKS4/5 прокси, т.к. их скорость в разы больше, чем у HTTP/S
Базы:
Данные вопросы: где достать базу, скачать базу для брута волнуют новичков больше всего. Попытаюсь помочь вам вникнуть в это.
Итак, существует множество различных способов достать почты, но напишу наиболее примитивные из них:
1. Поиск софтом.
С помощью определенных софитов вы сможете добыть паблик базы, возможно, часть из них мало кто чекал. Будет полезно, если вы все найденные базы таким способом будете чекать на рар (редкие) запросы (не стим, не варфейс, не ориджин) ну и в зависимости, какие базы вы ищите (РУ или забугор). Забугор лучше будет чекать на скайп, пэйпал, лигу, ибэй, ориджин. Однако этот способ помогает достать только паблик базы
2. Скачивание баз с форумов. Сейчас выкладывают, в основном, забугор базы. Немного муторный способ, так как вам нужно прокачать аккаунты на форумах, выкладывая что-то полезное от себя. Допустим, скачали базу с одного форума. прочекали ее, забрали нужное, выложили эту же базу на другой форум или раздали ненужное. Не переборщите с жадностью. Опять же, у нас получить базу будет поначалу весьма проблематично, но, после того как вы отдадите что-то полезное, вы получите за это благодарность и сможете скачивать базы из-под хайда.
4. Самый муторный способ: слив зашифрованной базы с уязвимых сайтов. Поиск сайтов делается вручную, но чаще используют дорки.
Далее для слива сайтов используют мозги или Havij или Sqli dumper
Надеюсь, что после прочтения данного материала у вас станет меньше вопросов на тему «как брутить стим», «как брутить warface» и др, если кому-то это было интересно. Удачи!
Модератор
Модератор
Модератор
Начнём с подготовки материалов.
1-м шагом будет являться поиск хороших прокси, которые помогут нам обходить различные блокировки по времени, капчи и тому подобное. Существует несколько типов прокси, но я советую использовать “socks5”. Найти их можно на различных форумах, сайтах, раздачах или добыть грабберрами.
2-м шагом нам потребуется найти базу (почт/паролей) для брута. Данный материал можно также найти на различных форумах, раздачах и сайтах. Также некоторые используют парсеры файлообменников для поиска баз. Я вам оставлю несколько таких баз.
3-м шагом нам предстоит выбрать программу для брута баз, которая взламывают логин и пароль с помощью подбора всех теоретически возможных комбинаций. Про самые выделяющиеся я расскажу ниже.
Как я уже сказал выше, нам нужны прокси.
Для их добычи я пользуюсь некоторыми сайтами, вот некоторые из них:
Так же зачастую я обращаюсь к грабберу для получения прокси.
В данной программе мы можем получить лист прокси (справа нажимаем галочку “Socks” затем “Grab”, добываем около 3000 и нажимаем “Stop” затем сохраняем файл в удобное для нас место нажимая “Save”).
Затем нам нужно проверить прокси на валидность, существует множество программ, но я воспользуюсь сайтом
(не реклама)
В пустое окно вставляем наши прокси, затем ставим галочку “Do not publish my proxies” затем нажимаем кнопку “CHECK LIST”.
Сохраняем валидные прокси, которые нам скоро понадобятся.
Теперь мы нуждаемся в базе. Существует несколько типов баз, вот несколько из них:
Последним шагом будет являться брутфорс найденных нами баз.
В данной статье я опишу данный метод на примере программы All-In-One Checker (
. По вашему желанию добавляем фильтр писем по определённым отправителям (steampowered.com; em.ea.com; worldoftanks.ru; vk.com и т.д.)
Для этого нам нужно нажать на галочку искать в письмах и выбрать необходимые параметры. Набираемся терпения и нажимаем на кнопку “Старт”.
И вот мы на финишной прямой. Валидные аккаунты мы получим рядом с программой в папке “Results”.
HACKER VISION
безопасности нет…
Рубрики
Подписаться на блог
Метки
MAIL.RU BRUTE-FORCE или BUG-BOUNTY ПО-РУССКИ…
В один из солнечных дней, решил я накидать скриптец по web-crawling’y со своими блек-джеками фичами, а именно — со своим кастомным выводом той информации, которая мне необходима, да с подсветкой всего нарыбаченого добра. Волей судьбы тестирование скрипта выпало на Mail.ru, отсюда и начало этой поучительной истории…). В процессе выполнения скрипта, моему взору вдруг предстал домен, который немного выделяется среди остальных прочих, на то и была ставка при выполнении скрипта (см. скрин ниже)
Кто не любит PHP? Все любят PHP!
Как показывает практика, PHP-сайты по сей день хорошенько триггерят всех тех, кто имеет какое-либо отношение к offensive security в целом, и видимо не зря!
В нашем случае, на удочку попался https://allods.mail.ru на котором крутится какая-то онлайн игрулька, в компоненте регистрации которой имеется POST-запрос, который валидирует аутентифкационные данные из основной пользовательской базы данных.
Решено было отправить уязвимость через H1 (hackerone.com), на котором к сведению, Mail.ru касательно репортов связанных с брутфорсом написали следующее:
Special instructions for this weakness:
Before submitting bruteforce attacks, please note, that ABF (antibruteforce) used by Mail.Ru uses behavior-based heuristics and may react in different ways usually unexpected by researchers but confirmed to be good and reliable in practice. The only real way to confirm ABF bypass is to conduct real bruteforce attack on previously unaccessed account registered by somebody else with valid password among invalid ones in the dictionary. We do not accept burp logs, videos, etc for bruteforce reports. The only way to proof the bruteforce is to request real account with password pattern from security team and demonstrate attack and the chances you fail and report is marked as N/A are >99%.
Очень интересно! Выглядит это так — пруфы никакие мы не примаем, даём вам специальный акаунт, его и атакуйте, но мы Вас предупреждаем сразу, что >99% ваш репорт уйдёт в небытие, но когда это нас останавливало!)) xD
Далее, будет описан сам отчёт, который был отправлен в Mail.ru через платформу hackerone.com и процесс взаимодействия с представителями Mail.ru отвечающими за ББ-направление в компании, ну и впечатления от всего этого процесса.))
Vulnerability Technical description
По адресу https://allods.mail.ru/account.php находится форма регистрации нового пользователя в игре. В процессе заполнения формы, посылается Ajax POST-запрос в параметрах которого передаются пара логин-пароль на URL https://allods.mail.ru/ajaxreg.php
В теле POST-запроса передается функция verifyMruEmailPass, из названия которой очевидно, что функция имеет отношение к верификации, а в совокупности с передаваемыми логином и паролем — к процессу аутентификации.
В BurpSuite уязвимый запрос выглядит следующим образом (Pic.2-5):
Pic.1 Уязвимый POST-запрос
При успешной аутентификации пользователю возвращается:
Pic.2 POST-запрос — успешная аутентификация (Burp Suite)
В первую же очередь уязвимость была проверена средствами Intruder, где за основу был взят словарь в
100 срок, в разные участки которого было вставлено пять валидных паролей от учетной записи bug.bounty@list.ru. (passwd — hammer50!!)
Из результата выполнения запросов видно, что запросы 12, 37, 80, 93, 104 — вернули в теле респонса < «Valid» : «1«, «Error» : «»>.
Как видно из запросов выше — все действия происходят под анонимным, незалогиненным пользователем не имеющим какого-либо SessionID идентификатора, или каких-либо дополнительных токенов, что приводит к значительному упрощению атаки в пользу потенциального злоумышленника.
Также, хост и веб-приложение в целом никак не реагируют, и не привентируют попытки проведения Bruteforce-атаки, позволяя злоумышленнику брутфорсить с одного хоста используя несколько различных User-Agent’ов. Исходя из этого, можно предположить, что хост allods.mail.ru не имеет каких-либо защитных ABF-механизмов и последующую атаку можно представить в виде следующей схемы:
Pic.6 Схема Bruteforce-атаки
Vulnerability Exploitation
Для автоматизации Bruteforce-атаки, был разработан PoC shell-скрипт, который выполняет ряд следующих действий:
Скрипт запускается в терминале и в качестве аргумента передается атакуемый емейл, например:
Далее, на емейле bug.bounty@list.ru был изменен пароль из словаря (выбрав рандомно из середины) и был запущен скрипт на подбор пароля, статус и результат выполнения отображены ниже (Pic.8-9)
Pic.8 Процесс Bruteforce-атаки 
Pic.9 Успешно завершенная Bruteforce-атака
На Pic.9 можно увидеть, что выполнение скрипта составило
1 минуту и количество запросов составило 76, при однопоточном режиме. Исходя из этой информации — можно сделать простые расчеты по скорости выполнения атаки как в однопоточном, так и многопоточных режимах с распределенным типом атаки.
Также следует отметить, что во время проведения атаки при успешной аутентификации через сервис allods.mail.ru, пользователь не получает каких-либо нотификаций и уведомлений о том, что был произведён логон под данным емейлом. (Pic.10)
Pic.10 Отсутствие нотификаций об успешной аутентификации
Step to Reproduce
P.S. Из очевидных вещей — PoC-скрипт по брутфорсу возможно переделать под любые требования, например, под распределенную атаку с использованием разных исходящих IP-адресов, User-agent’oв, таймаутов и тд. и тп.
Далее, отчет был отправлен и от представителей Mail.ru был получен следующий очевидный ответ:
При попытке сбрутить данный аккаунт, нас конечно же постигает облом. Решено было воспроизвести кейс с подобной маской пароля на своём аккаунте, и для этого была предпринята попытка установить подобный пароль (например — qweASD666) на свой аккаунт, но и тут нас постигает облом, т.к. установить подобный пароль на продакшене Mail.ru мы не можем по причине активной парольной политики, которая производит проверку по дефолтным словарям и дефолтным парольным маскам (qwerty, asdzxc, etc…), в результате чего, на продакшене пользователь просто не имеет возможность установить подобный пароль:
Подобная ситуация наводит на мысль, что тебе дают брутить какой-то не тот аккаунт, не из того окружения, или пароль на нём не тот установлен, мало ли! Не забываем, что почти все (>99!) брутфорс-репорты помечаются как False-positive. Пишу об этом представителям Mail.ru:
И тут, после этого коммента, отчёт закрывают как Not Applicable — вот это поворот!
Mail.ru’шники по всей красе показали, как они умеют менеджить уязвимости через их всюду (на всех конфах) распиаренную Баг-Баунти, а на практике всё как всегда. Разочароыввает тот, факт, что в твоем репорте никто не имеет желания разбираться, хотя тебя заранее и предупреждали о том, что твой репорт АВТОМАТИЧЕСКИ с вероятностью >99% будет помечен как N/A)) п-х-х-х… Про этикет общения-поведения я пожалуй вообще промолчу.
После того, как отчет был отправлен, во время последующих тестирований стало заметно, что сервак стал реже отдавать респонсы при попртыках брута, так и сами попытки атаки стали уже мониториться и привентироваться. Быстренько фикисте, молодцы! =)
Так вот, исходя из вышеизложенного, в следующие разы, я точно >99 раз подумаю, стоит ли относить обнаруженные уязвимости в Mail.ru. И тебе дорогой читатель, тоже советую, подумать насчёт уязвимотей Mail.ru, об их фиксах, и человеческих подходах, ну и о хранении собственной информации в подобных системах…
— ОПЯТЬ ПРИСЛАЛИ УЯЗВИМОСТЬ ПО БРУТФОРСУ!