Редакция Roem.ru не несет ответственности за материалы, размещенные в этом разделе читателями ресурса. Они добавляются через форму на сайте, и могут быть опубликованы без предварительной модерации.
Недавно забаненный на "Вконтакте" амбициозный стартап Bestpersons.ru стал участником очередного скандала.
Как выяснилось, сервис призванный "объединить социальные сети", крайне уязвим по нескольким направлениям сразу:
1. Хранит пароли пользователей в незашифрованом виде
2. Высылает этот незашифрованный пароль при смене email
3. Не требует ввода пароля при смене данных пользователя
4. Не имеет ограничения на сессию пользователя по IP
5. Позволяет внедрить JavaScript на страницы.
Итого, путём простого алгоритма - внедрить JS -> украсть сессионную куку-> залогиниться с её помощью-> сменить email
можно довольно просто получить строку с паролем на этот новый email.
Ситуация осложняется тем, что после получения доступа к аккаунту "Бестперсонс" можно частично управлять любым социальным сервисом, который пользователь подключил к своему профилю, к примеру отправлять посты.
Это сподвигло многих пользователей узнавших об уязвимости к полному самоудалению из системы.
При этом, если учесть, что большинство пользователей по прежнему предпочитают использовать один пароль на все случаи жизни, ущерб для пользователей Bestpersons оказывается еще больше.
Update: "Сам Bestpersons сообщил, что: произошла атака на сервис Bestpersons.ru.
XSS атаке была подвержена небольшая часть аккаунтов.
Пароли пользователей bestpersons к сторонним ресурсам защищены и украдены не были.
Так как, даже зная пароль пользователя на bp, нельзя получить пароли от его сайтов.
С использованием уже устраненной уязвимости в дневники некоторых пользователей были отправлены странные сообщения.
Еще раз напоминаем, что пароли на сайты пользователей никто не узнал.
Мы приносим свои извинения пользователям, которых затронул данный инцидент". Конец цитаты
Однако, с учетом того, что пароли могли быть одними и теми же - они могли утечь. С хакнутых аккаунтов была проведена рассылка бессмысленных сообщений с текстом, содержащим символы 9c951267
Инсайды / (Обновлено) Из агрегатора социальных сервисов утекли пароли пользователей (+)
- 22.07.2008 12:53:47
Новости
- Бандлософт помог Mail.ru нарастить долю поиска 16
- Бегун перепродаст рекламу в социальных сетях. 3
- В русской Гуглопочте заработали звонки на телефоны 12
- Mail.ru перетряс кадры и политику 25
- "Мастерхост" отключился от пользователей 21
- Русский Airbnb откроется 1 февраля 5
- Facebook пошёл на стомиллиардное IPO 16
- Юрий Мильнер: b2c интернет — не "пузырь" 15
- Google вытесняет конкурирующие соцсети из SERP 10
- Скончался Александр Житинский 6
- "Перекресток" открыл свой онлайн-магазин 11
- Google объяснит пользователям, как они делятся информацией сами с собой 1
Инсайды, Слухи, Открытки
- Инсайд: Лаборатория Касперского отказалась от IPO 13
- Генеральный директор HFLabs на собеседованиях издевается над программистами 15
- Mail.Ru Group объявляет о приобретении RuTwit.ru 6
- Риски, деньги, принципы. Подборка самых интересных публикаций об IPO Facebook 11
- Ozon.ru может купить обувной магазин Sapato 43
- Публичный саппорт: Интернет-банк "Связного" - баг или хак? 21
- Крупнейший рекламодатель России (Procter&Gamble) разгонит маркетологов и уйдет в соцсети 10
- Почему у Яндекса до сих пор нет голосового поиска? 34
- Сергей Спивак переходит в Internest 4
- Enter.ru привёл технического директора из Google 8
- Публичный саппорт: у Яндекса опять сломалась ПДД 13
- У Яндекса появится карта мира от Navteq 2
Новые комментарии 
- Alter Ego > Пост о том, как некий Сергей в Яндекс работать устраивался (192)
- zizitop > Инсайд: Лаборатория Касперского отказалась от IPO (15)
- Alter Ego > Бандлософт помог Mail.ru нарастить долю поиска (16)
- Psycho > Facebook пошёл на стомиллиардное IPO (16)
- Alter Ego > Бегун перепродаст рекламу в социальных сетях. (3)
- Alter Ego > Генеральный директор HFLabs на собеседованиях издевается над программистами (16)
- Alter Ego > А.Носик разоблачает связи Кремля и киберпреступников(ЖЖ) (26)
- Alter Ego > Риски, деньги, принципы. Подборка самых интересных публикаций об IPO Facebook (11)
- lyalius > Пост о том, как некий Андрей учил Яндекс жизни и был уволен (12)
- barouh > Крупнейший рекламодатель России (Procter&Gamble) разгонит маркетологов и уйдет в соцсети (10)
- Zemant > Mail.Ru Group объявляет о приобретении RuTwit.ru (6)
- sinodov > В русской Гуглопочте заработали звонки на телефоны (12)
- Crio > Free-lance.ru огорчил Дурова (12)
- Alter Ego > Сергей Спивак переходит в Internest (4)
- vnaz > Mail.ru перетряс кадры и политику (25)
- Psycho > Ozon.ru может купить обувной магазин Sapato (47)
- T0XA > "Мастерхост" отключился от пользователей (21)
- trin > Публичный саппорт: Интернет-банк "Связного" - баг или хак? (21)
- botnet > Почему у Яндекса до сих пор нет голосового поиска? (34)
Лучшие комментарии
Сразу же самоудалился с сервиса, как только прочитал эту историю на Хабре. В своё время даже ввёл пару паролей для эксперимента, но вовремя одумался и удалил их. К счастью, сервис хотя бы удаляет пароли по-настоящему, а то теперь я не удивился бы, если бы на самом деле они где-то спрятались.
Думаю, что сервису после такого скандала смерть... А ведь так хорошо смотрелся!
Контекст комментария
А вот и описание событий: http://romanser.habrahabr.ru/blog/47343.html
Контекст комментария
Комментарии
я тоже с опаской гляжу на сервисы, предлагающие ввести пароль не для себя, а для других сервисов
нафиг надо все яйца в одну корзину клсть?
к тому же, "амбиции" Бестперсонса далеки от реалий
Вообще, интересно, какой-нибудь Meebo этому счастью тоже подвержен?
если дырявый сервис может автоматически добавлять записи на второй сервис, то неважно, каким именно образом осуществляется доступ — по паролю или через api
Но посты появлялись и у тех людей, кто не заходил на bestpersons уже давно, а значит не мог попасться на XSS.
Лучший комментарий. Развернуть?
Лучший комментарий. Развернуть?