Хакеры взломали несколько тысяч блогов рунета
23.07.2008 11:24 BestPersons.ru – интегратор
социальных сетей, где пользователи указывают все свои имена и пароли от блогов и
других страниц на других проектах, чтобы получать обновления в одном месте. "Я был удивлен, когда узнал, что сменить пароль пользователя и любую его
информацию на этом сервисе можно обладая всего лишь его кукой (Cookies). Такой
простой вещи, как ограничение сессий по IP там нет, не говоря уже о требовании
ввести пароль при смене критичных данных. А это уже совсем непростительно. Я
обнаружил, что если сменить свой email в профиле, то система радостно отправляет
на новый email незашифрованный пароль пользователя", – рассказывает Роман
Сербин, обнаруживший уязвимость проекта. Подобные интеграторы социальных сетей стали обретать популярность последнее
время. Пример – недавно анонсированный сервис "Рамблер.Друзья". Они
позволяют экономить время и структурировать свою информацию, но небезопасны,
потому что потеряв доступ к профилю такого сервиса, пользователи теряет все. Кстати: за несколько дней до происшествия социальная сеть
"ВКонтакте.ру" заблокировала возможность подключения BestPersons.ru к данным
своих пользователей, поэтому ни один пользователь не потерял своего
профиля.