Перейти к основному содержанию

Хакер получил пароли пользователей с пяти хостингов одной ссылкой

""
Источник

Сервисы Bluehost, Dreamhost, Hostgator, OVH и iPage, которые предоставляют услуги веб-хостинга, оказались уязвимы перед простой хакерской атакой. Исследователь обошел системы безопасности с помощью единственной ссылки.

Специалист по кибербезопасности и «охотник за ошибками» Паулос Ибело сумел получить доступ к учетным записям клиентов, используя лишь одну ссылку. Как он рассказал TechCrunch, у пяти сервисов была найдена одинаковая ошибка в системе безопасности – впрочем, суммарно он описал найденные баги в количестве «десятка». Протестировав свою теорию, автор исследования мог заполучить практически любую учетную запись клиента.

Алгоритм атаки был рассчитан на крупные компании, пользующиеся услугами данных сервисов. По электронной почте отправлялось вредоносное письмо со ссылкой, клик по которой открывал автору доступ к учетной записи жертвы. В случае с анализом системы безопасности Bluehost Ибело внедрил в письмо JS-скрипт.

«Большинство атак основывалось на отправке владельцу домена вредоносной ссылки по электронной почте и в надежде, что они нажмут. В случае с Bluehost Ибело вставил вредоносный JavaScript на страницу, полную котят или щенков», - сообщают журналисты.

После завершения поиска ошибок, Ибело передал полученные результаты компаниям для устранения недочетов. В основном они касались устаревшей архитектуры и излишне «расползающихся» серверных баз в компаниях с большим количеством пользователей.

У самурая нет цели, есть только путь. Мы боремся за объективную информацию.
Поддержите? Кнопки под статьей.