Во многих интернет-дневниках на различных блог-сервисах 21 июля, без ведома владельцев дневников, появились записи, содержащие сочетание символов 9c951267.
Во многих интернет-дневниках на различных блог-сервисах 21 июля, без ведома владельцев дневников, появились записи, содержащие сочетание символов 9c951267. Причиной тому стала XSS уязвимость на сайте BestPersons.ru, данные по которой были опубликованы на habrahabr.ru.
BestPersons.ru – проект, позволяющий объединить популярные социальные сети. Его пользователям предоставлялась возможность читать объединенную ленту друзей, зарегистрированных на разных сайтах, и публиковать записи сразу в несколько своих блогах, используя единый интерфейс. С этой целью пользователи должны были указать пароли к своим учетным записям на сторонних сайтах.
Обнаруженная уязвимость позволяла злоумышленнику выполнить произвольный код сценария и HTML код в браузере жертвы в контексте безопасности сайта BestPersons.ru. Таким образом, злоумышленник мог заманить пользователя на специально сформированную страницу и получить полный доступ к его учетной записи на сайте.
Администрация проекта утверждает , что пароли пользователей bestpersons к сторонним ресурсам защищены и украдены не были.
Это далеко не первый раз, и, к сожалению, не последний, когда злоумышленники используют уязвимости на популярных ресурсах для получения доступа к личным данным пользователей. SecurityLab напоминает своим читателям, что использование подобных сервисов для хранения каких-либо данных является небезопасным. Также напоминаем, что для доступа к различным сайтам и почтовым ящикам необходимо использовать индивидуальные (неповторяющиеся) пароли.
Наш канал — питательная среда для вашего интеллекта