Яндекс.Лєнта провела сеанс наочної демонстрації того, чим може обернутися передача яких-небудь паролів стороннім сервісам.
Як відомо, LiveJournal підтримує схему аутентифікації користувачів з передачею логіна/пароля безпосередньо в url - в основному це використовується для доступу до так званих підзамочним записів своїх друзів з різних програм-агрегаторів. Цей же механізм використовувався деякими користувачами і для читання таких записів через Яндекс.Лєнту.
Вказана дірка вже прикрита. Повідомляється, що після першого додавання стрічки LJ-користувача її адреса запам’ятовувалася (разом з логіном/паролем) і надалі використовувалася повторно вже при підключенні іншими користувачами. Причому не тільки використовувалася, але і легко цими самими іншими користувачами переглядалася. Мабуть, помилка була пов’язана зі спробою уникнути скачування однієї стрічки щораз для кожного хто її додав, тільки от при пошуку дублікатів чомусь було прийняте рішення ігнорувати паролі.
Так що всім хто використував Яндекс.Лєнту для читання LJ за описаною схемою варто терміново змінити свої LJ-паролі. До речі, якщо причина помилки вгадана правильно, те вона дозволяла читати підзамочні записи користувачів і не тільки їх друзям.
По матеріалам http://www.secblog.info.
P.S.
Стосовно паролів я писав в своєму Посібнику з безпеки, в другому розділі (з одноіменною назвою).