#Инфографика #Избраное #ЛентаНовостей #телекомлентач #метабаза #статистика #Платно #обзоргаджетов #шапито

На официальном сайте Samsung можно было угнать аккаунты тремя разными способами

24 дек 2018 12:40 #75170 от ICT
ICT создал тему: На официальном сайте Samsung можно было угнать аккаунты тремя разными способами
Меняйте пароли или это сделают за вас Сайты в домене Samsung.comсодержали ряд уязвимостей, которые допускали кражу пользовательских мобильныхаккаунтов. Украинский исследовательбезопасности, профессиональный охотник за уязвимостями Артем Московский заявил, что нашел сразу три уязвимости типа CSFR(межсайтовая подделка запроса), которая позволяла производить сброс паролей кчужим аккаунтам. По словамМосковского, сайт Samsung.comнекорректно обрабатывал контрольные вопросы, используемые для переустановкипользовательских паролей. К настоящему времени проблемы устранены. Некорректная обработка В обычных условияхсоответствующее приложение должно проверять заголовок «referer»,чтобы удостовериться, что запрос отправляется с сайта, имеющего легитимныйдоступ. Но на Samsung.comмеханизм проверкиработал неправильно, так что эту информацию мог получить любой постороннийсайт.
Вложенный файл:
Уязвимости на сайте Samsung позволяли красть аккаунты пользователей Из-за этогозлоумышленники могли шпионить за пользовательскими аккаунтами и менятьнекоторые данные, например имя пользователя, или даже отключать двухфакторнуюавторизацию и красть мобильные аккаунты, меняя пароли к ним. «Хотя удивительно,что такой гигант как Samsung допускает на своих ключевых сайтахстоль типичные уязвимости, в целом это показывает, что от подобных ошибок незастрахован никто, — считает МихаилЗайцев, эксперт по информационной безопасности компании SECConsultService.— Заодно это напоминание о том, что независимые “охотники за багами” — лучшиедрузья и корпораций, и конечных пользователей». Где две, там и три «Сначала я нашел двеуязвимости, — рассказалМосковский. — Затем, когда язалогинился на сайт security.samsungmobile.com, чтобы проверить реакцию на свое предыдущее сообщения, меня перебросили насайт редактирования персональных данных. Эта страница выглядела иначе, нежелиее аналог на account.samsung.com. Тамбыло дополнительное поле “секретный вопрос”». В итоге Московский выяснил,что и здесь содержится баг, позволяющий принудительно менять и контрольныйвопрос, и ответ на него. Описаннымуязвимостям были присвоены средняя, высокая и критическая степени угрозы. Завсе вместе Московский получил $13,3 тыс. — существенно меньше, чем он получилза одну критическую уязвимость в Steam в октябре 2018 г., когда сумманаграды составила $20 тыс. Ссылка на источник


  • Сообщений: 103416

  • Пол: Не указан
  • Дата рождения: Неизвестно

    • Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

    Похожие статьи

    ТемаРелевантностьДата
    Samsung Galaxy A6 Plus появился на официальном сайте компании18.86Пятница, 06 апреля 2018
    Samsung Galaxy J7 (2018) появился официальном сайте компании18.66Пятница, 06 апреля 2018
    OPPO R11s появился на официальном сайте15.29Четверг, 26 октября 2017
    Сбербанк внедрил на официальном сайте платформу BackBase15.13Пятница, 03 апреля 2015
    Характеристики BlackBerry DTEK60 появились на официальном сайте15.13Понедельник, 03 октября 2016
    Xiaomi Redmi Pro 2 был замечен на официальном сайте компании15.13Понедельник, 15 мая 2017
    Миллионы автомобилей можно угнать через мобильник14.8Понедельник, 20 февраля 2017
    Оплата взысканий ФССП по системе «Город» доступна на официальном сайте ведомства14.66Вторник, 08 декабря 2015
    В WhatsApp каждый чат теперь можно оформить разными обоями13.62Вторник, 01 декабря 2020
    Слухи: Смартфоны Samsung Galaxy S6 могут поставляться с разными модулями камер12.16Понедельник, 04 мая 2015

    Мы в соц. сетях