»сследователь похитил пароли пользователей Securelist

image

“еги: Ћаборатори€  асперско

Ќедавно от имени администрации сайта Securelist.com, принадлежащего "Ћаборатории  асперского", зарегистрированным пользовател€м этого ресурса были разосланы письма с уведомлением о смене паролей к их учЄтным запис€м из соображений безопасности.

Ќедавно от имени администрации сайта Securelist.com, принадлежащего "Ћаборатории  асперского", зарегистрированным пользовател€м этого ресурса были разосланы письма с уведомлением о смене паролей к их учЄтным запис€м из соображений безопасности. ƒл€ каждого пользовател€ был сгенерирован новый пароль, который следовало получить, воспользовавшись предусмотренной на сайте формой восстановлени€ парол€.

 ак вы€снилось позднее, эта мера была последним шагом в устранении нескольких у€звимостей, имевших место в системе авторизации сайта. ¬чера вечером јлександр √остев из "Ћаборатории  асперского" поделилс€ подробност€ми о произошедшем в блоге Securelist.

ѕо его словам, в сент€бре некий пользователь "’абрахабра" LMaster решил испытать систему авторизации Securelist на прочность и вскоре обнаружил сначала одну, а затем и вторую у€звимости типов XSS и SQL-Injection соответственно.

√остев сообщает, что в насто€щий момент обнаруженна€ у€звимость полностью исправлена, уточн€€, что у€звимость была исправлена еще 19 окт€бр€. ќднако исправленный код не был опубликован на "боевом" сервере, так как не были закончены дополнительные тесты. ѕосле публикации подробностей об обнаруженной у€звимости на "’абрахабре", вечером воскресень€, 25 окт€бр€, специалистам "Ћаборатории" пришлось форсировать процесс и опубликовать изменени€ тогда же.

√остев пишет, что хронологи€ событий выгл€дела так:

* 18 окт€бр€ в Ћ  получили уведомление от пользовател€.

* 19 окт€бр€ исправлени€ были внесены, но не опубликованы.

* 20 окт€бр€ представители Ћ  ответили автору на его сообщение.

* 22 окт€бр€ автор публикует статью о данных проблемах на сайте r3al.ru, в которой он подчеркивает, что у€звимость до сих пор не закрыта.

* 25 окт€бр€ выходит публикаци€ на "’абрахабре".

¬ комментари€х на "’абрахабре" р€д читателей заметил, что действи€ LMaster могут быть признаны нарушением р€да статей ”головного  одекса –‘ и что он может быть привлечен к ответственности. "Ёто действительно так, и дл€ этого есть дополнительные основани€, - за€вл€ет √остев. Ёксперт отмечает тот факт, что обнаружив у€звимость, LMaster не стал сразу в этот же момент уведомл€ть о ней. ¬место этого он воспользовалс€ данной у€звимостью дл€ получени€ неавторизованного доступа. LMaster сам пишет об этом:

"Ќе долго дума€, € вставил сниффер, прокомментировал несколько блогов и стал ждать. —ниффер висел на сайте около мес€ца. «а это врем€ € смог перехватить 91 аккаунт к сайту".

¬ызывает вопросы и желание автора "получить свои 15 минут славы", опубликовав информацию о неисправленной у€звимости."ќбщеприн€та€ в сообществе практика: если уж ты действительно whitehat и сообщил о проблеме вендору, то координируй и дальнейшие действи€ с ним, — отмечает √остев некорректность действий хакера, которые, к тому же, можно квалифицировать как незаконные. — Ќесмотр€ на то, что формально он нарушил закон, т€желых последствий это не повлекло, и мы не планируем ответных юридических действий в этот раз".

√остев также утверждает, что это не первый подобный случай: похоже, что в июле этого года, точно по такой же схеме автор (LMaster) опубликовал информацию о неисправленной XSS-у€звимости в яндексе.

 роме того, специалисты "Ћаборатории" обнаружили, что пользователь, известный как LMaster, €вл€етс€ давним и активным участником "јнтивирусной Ўколы", еще одного открытого проекта Ћ , в котором участвуют школьники и студенты.

"ћы ожидали более этичного поведени€ от людей, которые €вл€ютс€ нашими регул€рными читател€ми", - пишет √остев.


или введите им€

CAPTCHA
sdv
30-10-2009 01:06:54
ƒе-юре LMaster не прав, но де-факто г-н √остев должен ему сказать спасибо, а не снисходительно рассказывать о "мы не планируем ответных юридических действий в этот раз" ѕоэтому пусть г-н √остев не удивл€етс€, если в "следующий раз" кто-то не станет нарыватьс€ на "ответные юридические действи€", а просто продаст эту информацию, не осуществл€€ самого взлома. ¬от это будет де-юре совершенно законно.
0 |
30-10-2009 01:28:21
лишнее подтверждение тому, какое унылое кафно этот каспер
0 |
D3m0n
30-10-2009 08:29:58
еще одного открытого проекта Ћ , в котором участвуют школьникину ты понел...
0 |
Sw%00p aka Jerom
30-10-2009 10:11:08
а что ещЄ нужно хакерам-школнегам ??? пс: —Ћј¬џ мол это круто 68876 пс2: вот бы секлаб вывешивал бы инфу о найденных ими багах в сторонних продуктах )))) вот —≈ ЋјЅ насто€щий пример вейтхека
0 |
ghrarganumenn
30-10-2009 10:49:05
√остев - редкостный человек на букву "му".  ак собственно и продукты кошмарского.
0 |
30-10-2009 12:14:44
„удак, что ли? ¬от зачем трепыхалс€? Ќу криво у них все и что? Ќу хакнет их кто-нибудь и что? ¬от ему какое дело? ј сейчас сам не отмоетс€. ¬ свое врем€ в ситибанке сидел народ толпами, тихо сидели, тихо слились, пока умелец за сто баксов не купил пароль и не захотел себе денег.
0 |
ƒоброжеватель
30-10-2009 15:06:11
 ак бывший работник лаборатории касперского подписываюсь под этими словами. Ўестерка тухлого п#$%ра женьки касперского.
0 |
–усский
30-10-2009 19:00:31
”нц надо было снести их систему и все. а заодно и сайт кашперовского . капчес жутко присекретилс€
0 |