Незадолго до этого в блоге Habrahabr появилось сообщение об уязвимости, найденном неким интернет-пользователем на сервисе BestPersons.ru, позволяющем объединять аккаунты в разных социальных сетях.
Его пользователям предоставлялась возможность читать объединенную ленту друзей, зарегистрированных на разных сайтах, и публиковать записи сразу в несколько своих блогов, используя единый интерфейс. С этой целью пользователи должны были указать пароли от своих аккаунтов на сторонних сайтах.
Как пишет пользователь, нашедший уязвимость, ему удалось получить «в открытом виде пароли около 400 пользователей сервиса. Учитывая, что 80 и больше процентов людей используют один и тот же пароль на нескольких сайтах (а иногда и на почте), а список сайтов, на которых зарегистрирован пользователь, можно найти прямо в его профиле (это основная «фишка» того сервиса, о котором идет речь), то получается просто рай для злоумышленников».
Через некоторое время после публикации этого сообщения сайт BestPersons.ru подвергся хакерской атаке и был отключен. Когда работоспособность сервиса восстановили, его разработчики принесли извинения пользователям, которых затронул инцидент, и сообщили, что уязвимость устранена. По их словам, атаке подверглась лишь небольшая часть аккаунтов, но при этом «пароли пользователей bestpersons к сторонним ресурсам защищены и украдены не были».
Многие блоггеры все же придерживаются иного мнения: они рекомендуют удалить аккаунт на BestPersons и поменять пароли на всех сайтах, которыми они пользовались через этот сервис, в особенности если они были одинаковыми.
БЛОГЕРЫ ПРО 9c951267
Из первых рук про 9c951267
Вот что пишет romanser в блоге Habrahabr: Прошел день с того времени, как я сделал попытку убедить людей, что в сети нужно очень тщательно выбирать, кому доверять свои данные (пафосно звучит, правда?)
О том, что же было и что из этого получилось, дальше.
Сайт bestpersons был выбран, конечно, не случайно, но он просто идеален в качестве наглядного пособия по тому, как не нужно делать безопасные сайты. О начале издевательств над ним можно почитать здесь: Сервис хранения паролей и раздачи их всем желающим.
Из-за туманных комментариев владельцев сайта, не утрудивших себя описанием того, что случилось с их сайтом и даже не уведомивших своих пользователей о том, что им нужно сделать (сменить все пароли, которые совпадали с паролем на bestpersons, удалить свой аккаунт 😉 ) даже крупные интернет-издания не смогли понять, что же произошло. Ни rian.ru, ни Roem.ru, ни Securitylab не дали реальной версии событий.
Итак, по порядку:
1. Я нахожу то, что описано в первом топике и пробую это использовать.
2. Поскольку я не особо скрываюсь, некоторые пользователи, пароль которых я получил, заметили, что у них в настройках сменился email и сообщили об этом программистам сайта.
3. Сайт был отключен, когда я успел получить всего около 400 паролей.
4. Я написал пост на хабр, поскольку считал, что раз владельцы сайта узнали о уязвимостях, они их закроют.
5. Сайт включили.
6. Я увидел, что уязвимости никто не правил и написал об этом комментарий.
7. Сайт выключили, меня попросили сказать, где же именно ошибки на сайте
8. Я сказал: в таких-то полях у вас не фильтруется html, кроме того у вас совершенно не фильтруются GET-запросы и через них можно делать что угодно. Поблагодарили, сказали что исправят.
9. Сайт включили, написали обнадеживающие новости — юзерам ничего не угрожает О_о. //То, что у меня лежат 400 паролей, которые до сих пор подходят к почтовым ящикам и аккаунтам пользователей (проверял ради любопытства) им, пользователям, знать не нужно.
10. Вечером перед сном решил еще раз зайти на сайт — посмотреть как там с уязвимостями. Обнаружил, что ничего в лучшую сторону не изменилось — поправили XSS в некоторых (не всех) полях, но через GET-запросы все еще можно делать все что угодно. В частности, удалять сообщения других пользователей и постить в их блоги на других сайтах.
11. Написал простенький скриптик, постящий во все блоги, пароли к которым были оставлены пользователями на bestpersons. Запустил его.
12. Посреди работы сервера bestpersons повисли (у них подвисали некоторые скрипты). Их перезагрузили и скриптик спокойно продолжил работу о_О
13. По всему рунету появились сообщения, содержание которых вы знаете. К настоящему времени большая часть из них уже удалена (уж точно на всех блогах, хозяева которых о них еще помнят).
14. Владельцы bestpersons добавили в новость о уязвимости еще одну строчку «От лица наших пользователей были отправлены странные сообщения, ничего страшного».
Не факт, что я первый нашел как получить пароли пользователей того сайта. А поскольку сделать это можно было незаметно для самого пользователя (и уж конечно для администрации сайта), стоит передать своим знакомым, у которых есть аккаунт на bestpersons, что их пароли могут быть уже не их. И если ими еще никто не воспользовался, это не означает, что не воспользуется.
Источник: РИА»Новости» , Хабрахабр
Фото: Newsru.com , РИА»Новости»
VK
OK
Telegram
Дзен