РАЗДЕЛЫ
Архив
|
У читателей Securelist украли пароли≡ Безопасность | Новости | 29.10.2009 11:49 Недавно от имени администрации сайта Securelist.com, принадлежащего "Лаборатории Касперского", зарегистрированным пользователям этого ресурса были разосланы письма с уведомлением о смене паролей к их учётным записям "по соображениям безопасности". Для каждого пользователя был сгенерирован новый пароль, который следовало получить, воспользовавшись предусмотренной на сайте формой восстановления пароля. Как выяснилось позднее, эта мера была последним шагом в устранении нескольких уязвимостей, имевших место в системе авторизации сайта. Вчера вечером Александр Гостев из "Лаборатории Касперского" По его словам, хронология событий выглядела так. В сентябре некий пользователь "Хабрахабра" LMaster решил испытать систему авторизации Securelist на прочность и вскоре обнаружил сперва одну, а затем и вторую уязвимости типов XSS и SQL-Injection соответственно. Межсайтинговый скриптинг позволил ему внедрить на сайт сниффер и перехватывать данные cookie пользователей ресурса. С их помощью он смог логиниться к сайты под чужими аккаунтами, что, в свою очередь, позволяет получить доступ к паролям этих пользователей (для этого нужно поменять в настройках e-mail, попросить выслать на него "забытый" пароль — ну и вернуть прежний e-mail, чтобы замести следы). Примерно через месяц, 18 октября, LMaster, наконец, сообщил о своих находках в "Лабораторию Касперского". 19 октября специалисты компании устранили уязвимости на тестовом сервере, но рабочий сервер пока не трогали, поскольку хотели как следует протестировать изменения. На следующий день они ответили LMaster–у, который через два дня опубликовал полные данные об обнаруженных уязвимостях на форуме r3al.ru, а ещё через 3 дня Узнав об этих публикациях, касперовцы решили "форсировать процесс" и прикрыть "дыры" на рабочем сервере теми "заплатками", какие были под рукой. После этого всем пользователям были разосланы новые пароли, поскольку часть из них были перехвачены как минимум этим самым LMaster-ом, который позволил себе преждевременно опубликовать критичную информацию. "Общепринятая в сообществе практика: если уж ты действительно whitehat и сообщил о проблеме вендору, то координируй и дальнейшие действия с ним, — отмечает Гостев некорректность действий хакера, которые, к тому же, можно квалифицировать как незаконные. — Несмотря на то, что формально он нарушил закон, тяжелых последствий это не повлекло, и мы не планируем ответных юридических действий в этот раз". В процессе изучения уязвимостей Securelist LMaster обнаружил, что пароли пользователей хранятся в базе данных этого сервиса в открытом виде. Экспертам "Вебпланеты" это показалось примечательным, поэтому мы попытались выяснить, планируются ли в "Лаборатории Касперского" исправить это упущение. "Данную "особенность" движка сайта мы не рассматриваем как критическую", — пояснил Гостев, добавив, однако, что легче от этой "особенности" отказаться, чем каждый раз давать такие объяснения. Поэтому "мы уже работаем над хэшированием паролей в базе, — сказал он. — К релизу английской версии Securelist должно быть". Также эксперт добавил, что в настоящий момент специалисты "Лаборатории Касперского" изучают следы действий "белого хакера" LMaster, чтобы определить, пароли каких именно пользователей он запрашивал на свой почтовый ящик. Когда список таких, наиболее всего пострадавших юзеров будет составлен, им будут разосланы письма с советом сменить на других ресурсах те пароли, которые совпадают с их прежним паролем на Securelist. комментарии(14) | разделы: Новости | Безопасность Материалы по теме BitDefender хакнули вслед за "Лабораторией Касперского" Другие новости |
Последние комментарии
Гость про Суд велел "Твиттеру" сдать сторонников WikiLeaks (12)
Гость про Книгоиздатели начали судиться с торрентами (2)
l_e_x_a про "ВКонтакте" принудительно протестирует пользователей (35)
andrey_kadetov про Google назвал Facebook "ловушкой без выхода" (6)
volv про День папуасского робошахтёра (14)
l_e_x_a про Русские кликботы признаны самыми активными (11)
все комментарии looli спрашивает: Земля вампиров смотреть онлайн в HD качестве looli спрашивает: Зеленый Фонарь смотреть онлайн в HD качестве looli спрашивает: Защитник смотреть онлайн в HD качестве looli спрашивает: Запретная зона смотреть онлайн в HD качестве looli спрашивает: Закон доблести смотреть онлайн в HD качестве looli спрашивает: Вышибала смотреть онлайн в HD качестве looli спрашивает: Встречный ветер смотреть онлайн в HD качестве looli спрашивает: Все любят китов смотреть онлайн в HD качестве |
Copyright © 2001-2020 «Вебпланета». При перепечатке ссылка на «Вебпланету» обязательна.