(Обновлено) Из агрегатора социальных сервисов утекли пароли пользователей

Редакция Roem.ru не несет ответственности за материалы, размещенные в этом разделе читателями ресурса. Они добавляются через форму на сайте, и могут быть опубликованы без предварительной модерации.

Недавно забаненный на «Вконтакте» амбициозный стартап Bestpersons.ru стал участником очередного скандала.

Как выяснилось, сервис призванный «объединить социальные сети», крайне уязвим по нескольким направлениям сразу:
1. Хранит пароли пользователей в незашифрованом виде
2. Высылает этот незашифрованный пароль при смене email
3. Не требует ввода пароля при смене данных пользователя
4. Не имеет ограничения на сессию пользователя по IP
5. Позволяет внедрить JavaScript на страницы.

Итого, путём простого алгоритма — внедрить JS -> украсть сессионную куку-> залогиниться с её помощью-> сменить email
можно довольно просто получить строку с паролем на этот новый email.

Ситуация осложняется тем, что после получения доступа к аккаунту «Бестперсонс» можно частично управлять любым социальным сервисом, который пользователь подключил к своему профилю, к примеру отправлять посты.

Это сподвигло многих пользователей узнавших об уязвимости к полному самоудалению из системы.

При этом, если учесть, что большинство пользователей по прежнему предпочитают использовать один пароль на все случаи жизни, ущерб для пользователей Bestpersons оказывается еще больше.

Update: «Сам Bestpersons сообщил, что: произошла атака на сервис Bestpersons.ru.
XSS атаке была подвержена небольшая часть аккаунтов.
Пароли пользователей bestpersons к сторонним ресурсам защищены и украдены не были.
Так как, даже зная пароль пользователя на bp, нельзя получить пароли от его сайтов.
С использованием уже устраненной уязвимости в дневники некоторых пользователей были отправлены странные сообщения.
Еще раз напоминаем, что пароли на сайты пользователей никто не узнал.
Мы приносим свои извинения пользователям, которых затронул данный инцидент». Конец цитаты

Однако, с учетом того, что пароли могли быть одними и теми же — они могли утечь. С хакнутых аккаунтов была проведена рассылка бессмысленных сообщений с текстом, содержащим символы 9c951267

Лучшие комментарии

  • Контекст комментария

    Никита Дедик P...ch

    Сразу же самоудалился с сервиса, как только прочитал эту историю на Хабре. В своё время даже ввёл пару паролей для эксперимента, но вовремя одумался и удалил их. К счастью, сервис хотя бы удаляет пароли по-настоящему, а то теперь я не удивился бы, если бы на самом деле они где-то спрятались. Думаю, что сервису после такого скандала смерть… А ведь так хорошо смотрелся!

Добавить 10 комментариев