Уязвимости на сайте Samsung позволяли похищать учетные записи

Компания Samsung исправила на своем сайте ряд уязвимостей, совокупная эксплуатация которых позволяла «угонять» чужие учетные записи.

Исследователь безопасности Артем Московский обнаружил три уязвимости, позволявшие осуществить межсайтовую подделку запроса, сбросить пароли пользователей и похитить учетные записи, пишет The Register. По его словам, проблема была связана с тем, как Samsung.com обрабатывал контрольные вопросы, на которые пользователь должен был ответить в случае, если забыл пароль.

В обычных условиях web-приложение должно было проверять заголовок «referer» с целью убедиться, что запрос отправляется с сайта, у которого есть доступ. Однако на Samsung.com механизм проверки работал неправильно, и информацию мог получить любой сайт. Этим могли воспользоваться злоумышленники для слежки за профилями пользователей, изменения информации (например, имени пользователя) и даже отключения двухфакторной аутентификации, чтобы сбросить пароль. Как пояснил Московский, атакующий мог получить доступ ко всем пользовательским сервисам Samsung, конфиденциальным данным пользователей и даже к облаку.

Исследователь продемонстрировал, как с помощью обнаруженных им уязвимостей можно изменить контрольные вопросы, установленные пользователем на сайте Samsung.com, и через механизм сброса пароля «угнать» учетную запись.

Артем Московский – украинский исследователь безопасности, профессионально занимающийся поиском уязвимостей. За обнаружение уязвимости в Steam web API он получил от Valve вознаграждение в размере $20 тыс.

Источник