Статьи Новости Контакты

22.07.2008 | 08:00

Злоумышленники воспользовались уязвимостью сайта BestPersons.ru

Вечером 21 июля в интернет-дневниках пользователей LiveJournal, Blogspot, Twitter, а также ряда других популярных блог-платформ, без ведома владельцев аккаунтов начали появляться короткие записи, содержащие сочетание символов 9c951267. Как показал поиск "Яндекса" по блогам, в короткое время такого рода записи появились в сотнях онлайновых дневников.

Как нам удалось установить, все пострадавшие были зарегистрированы на сайте BestPersons.ru — сервисе, позволяющем объединять аккаунты в разных социальных сетях. В частности, пользователи сервиса имеют возможность читать объединенную ленту друзей, зарегистрированных на разных сайтах, а также публиковать записи сразу в несколько своих блогов, используя единый интерфейс. Безусловно, для обеспечения этой функциональности от пользователей требовалось указывать пароли от своих аккаунтов на сторонних сайтах.

Как выяснилось, 21 июля в середине дня на сайте "Хабрахабр" была опубликована заметка, в которой сообщалось о наличии уязвимости на сайте BestPersons.ru. По словам некоего romanser, при помощи небольшого джава-скрипта ему удалось заполучить в открытом виде не менее 400 паролей пользователей сервиса. Через некоторое время после публикации этого сообщения и начались проблемы: сайт BestPersons.ru подвергся хакерской атаке и вскоре был отключен.

К 4 часам утра работоспособность сайта была восстановлена. Как утверждают разработчики, XSS-атака коснулась лишь небольшой части аккаунтов. При этом пароли от сторонних сайтов, сохраненные пользователями, не попали в руки злоумышленников, поскольку они хранятся в базе BestPersons.ru в зашифрованном виде.

Между тем, пользователи, которые защищают все свои аккаунты, включая аккаунт на сайте BestPersons.ru, одинаковыми паролями, будут находиться в опасности до тех пор, пока не сменят свои пароли.

Скоро на сайте

  • Wordpress

    Серия статей о плагинах к движку WordPrress
  • AJAX

    Проекты и продукты, ориентированные на AJAX
  • Новые сервисы Google

    Обзор новых сервисов Google
 

Copyright © 2003—2018 Все права защищены

При использовании материалов сайта ссылка на hostinfo.ru обязательна

  • хостинг от .masterhost
  • Rambler's Top100