Редакция Roem.ru не несет ответственности за материалы, размещенные в этом разделе читателями ресурса. Они добавляются через форму на сайте, и могут быть опубликованы без предварительной модерации.
Как выяснилось, сервис призванный "объединить социальные сети", крайне уязвим по нескольким направлениям сразу:
1. Хранит пароли пользователей в незашифрованом виде
2. Высылает этот незашифрованный пароль при смене email
3. Не требует ввода пароля при смене данных пользователя
4. Не имеет ограничения на сессию пользователя по IP
5. Позволяет внедрить JavaScript на страницы.
Итого, путём простого алгоритма - внедрить JS -> украсть сессионную куку-> залогиниться с её помощью-> сменить email
можно довольно просто получить строку с паролем на этот новый email.
Ситуация осложняется тем, что после получения доступа к аккаунту "Бестперсонс" можно частично управлять любым социальным сервисом, который пользователь подключил к своему профилю, к примеру отправлять посты.
Это сподвигло многих пользователей узнавших об уязвимости к полному самоудалению из системы.
При этом, если учесть, что большинство пользователей по прежнему предпочитают использовать один пароль на все случаи жизни, ущерб для пользователей Bestpersons оказывается еще больше.
Update: "Сам Bestpersons сообщил, что: произошла атака на сервис Bestpersons.ru.
XSS атаке была подвержена небольшая часть аккаунтов.
Пароли пользователей bestpersons к сторонним ресурсам защищены и украдены не были.
Так как, даже зная пароль пользователя на bp, нельзя получить пароли от его сайтов.
С использованием уже устраненной уязвимости в дневники некоторых пользователей были отправлены странные сообщения.
Еще раз напоминаем, что пароли на сайты пользователей никто не узнал.
Мы приносим свои извинения пользователям, которых затронул данный инцидент". Конец цитаты
Однако, с учетом того, что пароли могли быть одними и теми же - они могли утечь. С хакнутых аккаунтов была проведена рассылка бессмысленных сообщений с текстом, содержащим символы 9c951267
Сразу же самоудалился с сервиса, как только прочитал эту историю на Хабре. В своё время даже ввёл пару паролей для эксперимента, но вовремя одумался и удалил их. К счастью, сервис хотя бы удаляет пароли по-настоящему, а то теперь я не удивился бы, если бы на самом деле они где-то спрятались.
Думаю, что сервису после такого скандала смерть... А ведь так хорошо смотрелся! Контекст
ха ха ха
я тоже с опаской гляжу на сервисы, предлагающие ввести пароль не для себя, а для других сервисов
нафиг надо все яйца в одну корзину клсть?
к тому же, "амбиции" Бестперсонса далеки от реалий
Или разрабатывать API, в том случае если компания не против такой функциональности.
Вообще, интересно, какой-нибудь Meebo этому счастью тоже подвержен?
если дырявый сервис может автоматически добавлять записи на второй сервис, то неважно, каким именно образом осуществляется доступ — по паролю или через api
Сразу же самоудалился с сервиса, как только прочитал эту историю на Хабре. В своё время даже ввёл пару паролей для эксперимента, но вовремя одумался и удалил их. К счастью, сервис хотя бы удаляет пароли по-настоящему, а то теперь я не удивился бы, если бы на самом деле они где-то спрятались.
Думаю, что сервису после такого скандала смерть... А ведь так хорошо смотрелся!
знаю кое что
ха ха ха
я тоже с опаской гляжу на сервисы, предлагающие ввести пароль не для себя, а для других сервисов
нафиг надо все яйца в одну корзину клсть?
к тому же, "амбиции" Бестперсонса далеки от реалий
Ещё один повод всем крупным сервисам ещё раз задуматься о том, не пора ли принять за правило моментально отключать любой подобный агрегатор.
Или разрабатывать API, в том случае если компания не против такой функциональности.
Вообще, интересно, какой-нибудь Meebo этому счастью тоже подвержен?
По видимому, рассылка сообщений была не с хакнутых аккаунтов, а со всех.
на самом деле апи бы не сильно помог
если дырявый сервис может автоматически добавлять записи на второй сервис, то неважно, каким именно образом осуществляется доступ — по паролю или через api
главный редактор
А зачем рассылать со всех?
Зачем - другой вопрос.
Но посты появлялись и у тех людей, кто не заходил на bestpersons уже давно, а значит не мог попасться на XSS.
Видимо спёрли в том числе и админский доступ.
программист (Perl 5)
Лучший комментарий. Развернуть?
Лучший комментарий. Развернуть?