Прошлой ночью были найдены уязвимости в проекте BestPersons.ru, через который был получен доступ к нескольким тысячам дневников Livejournal и десяткам тысяч профилей на других сервисах.
Как пишет dp.ru, BestPersons.ru — интегратор социальных сетей, где пользователи указывают все свои имена и пароли от блогов и других страниц на других проектах для того, чтобы получать обновления в одном месте.
"Я был удивлен, когда узнал, что сменить пароль пользователя и любую его информацию на этом сервисе можно обладая всего лишь его кукой (Coockies). Такой простой вещи, как ограничение сессий по IP, там нет, не говоря уже о требовании ввести пароль при смене критичных данных. А это уже совсем непростительно. Я обнаружил, что если сменить свой email в профиле, то система радостно отправляет на новый email незашифрованный пароль пользователя", — рассказывает Роман Сербин, обнаруживший уязвимость проекта.
Подобные интеграторы социальных сетей стали обретать популярность последнее время. Они позволяют экономить время и структурировать свою информацию, но не являются безопасными, потому что, потеряв доступ к профилю от такого сервиса, пользователь теряет все.
Кстати, за несколько дней до происшествия социальная сеть "ВКонтакте.ру" заблокировала возможность подключения BestPersons.ru к данным своих пользователей, поэтому ни один пользователь не потерял своего профиля.
Сейчас
+15˚C
Сейчас в Санкт-Петербурге
+15˚C
Небольшая облачность, Без осадков
Ощущается как 13
3 м/с, зап
760мм
59%
Пробки
2/10
ЛАЙК0
СМЕХ0
УДИВЛЕНИЕ0
ГНЕВ0
ПЕЧАЛЬ0
ПРИСОЕДИНИТЬСЯ
Самые яркие фото и видео дня — в наших группах в социальных сетях
Увидели опечатку? Выделите фрагмент и нажмите Ctrl+Enter
сообщить новость
Отправьте свою новость в редакцию, расскажите о проблеме или подкиньте тему для публикации. Сюда же загружайте ваше видео и фото.
