События

Уязвимости на сайте Samsung позволяли похищать учетные записи

Компания Samsung исправила на своем сайте ряд уязвимостей, совокупная эксплуатация которых позволяла «угонять» чужие учетные записи.

Исследователь безопасности Артем Московский обнаружил три уязвимости, позволявшие осуществить межсайтовую подделку запроса, сбросить пароли пользователей и похитить учетные записи, пишет The Register. По его словам, проблема была связана с тем, как Samsung.com обрабатывал контрольные вопросы, на которые пользователь должен был ответить в случае, если забыл пароль.

В обычных условиях web-приложение должно было проверять заголовок «referer» с целью убедиться, что запрос отправляется с сайта, у которого есть доступ. Однако на Samsung.com механизм проверки работал неправильно, и информацию мог получить любой сайт. Этим могли воспользоваться злоумышленники для слежки за профилями пользователей, изменения информации (например, имени пользователя) и даже отключения двухфакторной аутентификации, чтобы сбросить пароль. Как пояснил Московский, атакующий мог получить доступ ко всем пользовательским сервисам Samsung, конфиденциальным данным пользователей и даже к облаку.

Исследователь продемонстрировал, как с помощью обнаруженных им уязвимостей можно изменить контрольные вопросы, установленные пользователем на сайте Samsung.com, и через механизм сброса пароля «угнать» учетную запись.

Артем Московский – украинский исследователь безопасности, профессионально занимающийся поиском уязвимостей. За обнаружение уязвимости в Steam web API он получил от Valve вознаграждение в размере $20 тыс.

Источник

Автор: Сергей Куприянов
11.12.2018 (11:37)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome
Пишите нам

Редакция: info@alterprogs.ru

Реклама: adv@alterprogs.ru

Все права защищены © 2010-2019

"Alterprogs.ru" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.ru. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.