Взято отсюда: https://habr.com/ru/post/280910/

А меня конкретно интересовал вопрос №4

Код: Выделить всё

Четвёртая уязвимость в MyChat касается использования доменной авторизации. Суть уязвимости заключается в том, что, зная адрес сервера, имя домена и доменного пользователя, а также имея возможность подключения к серверу, злоумышленник может успешно авторизоваться с этими данными. Злоумышленнику достаточно внести значение строковых параметров «Domain», «IP», «Port», «ServerPassword» (пустое значение) в ветке реестра «HKEY_CURRENT_USER\Software\MyChat Client» (как ни странно, но это документированный способ включения режима доменной авторизации), создать в операционной системе локальную учётную запись, совпадающую по имени с доменной, а затем войти при помощи неё в систему. Теперь при запуске клиента MyChat произойдёт успешное подключение к серверу от имени доменного пользователя. Таким образом, можно сделать вывод о том, что в MyChat не используется безопасный вариант прозрачной авторизации NTLM или Kerberos. [b]Разработчики были уведомлены об уязвимости 10.08.2014, но на текущий момент уязвимость не устранена[/b].

На сегодня уже 09.04.2020 - а уязвимость осталась на месте!
Ранее в чате мне было отвечено с вашей стороны "Давно исправлено" - я это расцениваю как преднамеренный ввод в заблуждение с целью извлечения прибыли.

Коллеги, это недопустимо! Если уязвимость осталась - надо уметь это признавать и оповещать об это потребителей вашего продукта!

Я только что проверил и ДА! Уязвимость осталась на месте. Я создал на не доменной машине во внешнем мире учётную запись локальную которая просто совпадает логином с доменной и на белый IP адрес успешно подключился!

Я разочарован до глубины души не самой даже уязвимостью, а вашим обманом.
Так партнёрские отношения не выстраиваются!

===================
Всем IT счастья!
www.sys-admin.su

[Алексей Пикуров]

Мы не стесняемся признавать свои ошибки и не вводим никого специально в заблуждение

Я проверю то, о чём вы пишете, отвечу позже.

Team lead
Чат со мной