Недавно от имени администрации сайта Securelist.com, принадлежащего "Лаборатории Касперского", зарегистрированным пользователям этого ресурса были разосланы письма с уведомлением о смене паролей к их учётным записям "по соображениям безопасности". Для каждого пользователя был сгенерирован новый пароль, который следовало получить, воспользовавшись предусмотренной на сайте формой восстановления пароля. Как выяснилось позднее, эта мера была последним шагом в устранении нескольких уязвимостей, имевших место в системе авторизации сайта. Вчера вечером Александр Гостев из "Лаборатории Касперского" поделился подробностями о произошедшем в блоге Securelist. По его словам, хронология событий выглядела так. В сентябре некий пользователь "Хабрахабра" LMaster решил испытать систему авторизации Securelist на прочность и вскоре обнаружил сперва одну, а затем и вторую уязвимости типов XSS и SQL-Injection соответственно. Межсайтинговый скриптинг позволил ему внедрить на сайт сниффер и перехватывать данные cookie пользователей ресурса. С их помощью он смог логиниться к сайты под чужими аккаунтами, что, в свою очередь, позволяет получить доступ к паролям этих пользователей (для этого нужно поменять в настройках e-mail, попросить выслать на него "забытый" пароль — ну и вернуть прежний e-mail, чтобы замести следы). Примерно через месяц, 18 октября, LMaster, наконец, сообщил о своих находках в "Лабораторию Касперского". 19 октября специалисты компании устранили уязвимости на тестовом сервере, но рабочий сервер пока не трогали, поскольку хотели как следует протестировать изменения. На следующий день они ответили LMaster–у, который через два дня опубликовал полные данные об обнаруженных уязвимостях на форуме r3al.ru, а ещё через 3 дня продублировал её на "Хабрахабре". Узнав об этих публикациях, касперовцы решили "форсировать процесс" и прикрыть "дыры" на рабочем сервере теми "заплатками", какие были под рукой. После этого всем пользователям были разосланы новые пароли, поскольку часть из них были перехвачены как минимум этим самым LMaster-ом, который позволил себе преждевременно опубликовать критичную информацию. "Общепринятая в сообществе практика: если уж ты действительно whitehat и сообщил о проблеме вендору, то координируй и дальнейшие действия с ним, — отмечает Гостев некорректность действий хакера, которые, к тому же, можно квалифицировать как незаконные. — Несмотря на то, что формально он нарушил закон, тяжелых последствий это не повлекло, и мы не планируем ответных юридических действий в этот раз". В процессе изучения уязвимостей Securelist LMaster обнаружил, что пароли пользователей хранятся в базе данных этого сервиса в открытом виде. Экспертам "Вебпланеты" это показалось примечательным, поэтому мы попытались выяснить, планируются ли в "Лаборатории Касперского" исправить это упущение. "Данную "особенность" движка сайта мы не рассматриваем как критическую", — пояснил Гостев, добавив, однако, что легче от этой "особенности" отказаться, чем каждый раз давать такие объяснения. Поэтому "мы уже работаем над хэшированием паролей в базе, — сказал он. — К релизу английской версии Securelist должно быть". Также эксперт добавил, что в настоящий момент специалисты "Лаборатории Касперского" изучают следы действий "белого хакера" LMaster, чтобы определить, пароли каких именно пользователей он запрашивал на свой почтовый ящик. Когда список таких, наиболее всего пострадавших юзеров будет составлен, им будут разосланы письма с советом сменить на других ресурсах те пароли, которые совпадают с их прежним паролем на Securelist.
Источник