SafeUM
Home Блог Услуги Скачать Помощь О нас Пополнить
EN
RU

Axarhöfði 14, 110 Reykjavik, Iceland

Iceland - 2015
SafeUM
Блог
Услуги
Скачать
Помощь
О нас
Пополнить
Меню
RU
Язык
EN
RU
Архив
TOP Security!
11 Дек 2017

К большинству закрытых фото на сайте Ashley Madison можно легко получить доступ

Сайт знакомств Ashley Madison, снискавший дурную славу два года назад после масштабной утечки личных данных своих пользователей, по-прежнему не способен обеспечить должную защиту конфиденциальности.

Независимый исследователь безопасности Мэтт Свенссон (Matt Svensson) и специалист компании Kromtech Security Боб Дяченко (Bob Diachenko) разработали метод атаки, с помощью которого им удалось получить доступ к большинству частных фотографий пользователей сайта.

Свенссон обнаружил в настройках сайта по умолчанию логическую ошибку, позволившую в итоге получить доступ к 64% конфиденциальных снимков. Исследователь сообщил Дяченко о своей находке, и вместе они проработали вектор атаки, о чем затем частным образом сообщили дочерней компании Ashley Madison под названием Ruby, занимающейся обеспечением безопасности данных.

На сайте Ashley Madison существует два типа фотографий – общедоступные и приватные. Первые могут видеть все, а для доступа ко вторым нужен специальный ключ. Один пользователь (назовем ее Сара) может отправить ключ другому (назовем его Джим) для доступа к своим приватным фото. Джим может отправить Саре запрос на доступ к ее закрытым снимкам, а Сара со своей стороны может его принять или отклонить.

Здесь есть две загвоздки. При установленных по умолчанию настройках, если Джим предоставит Саре свой ключ, сайт автоматически отправит ему ключ Сары. Более того, доступ к фотографиям можно получить по URL без какой-либо авторизации.

Допустим, Сара сделала все свои снимки закрытыми. Она отклонила два запроса на предоставление своих ключей, потому что отправившие их пользователи не вызвали у нее доверия. Однако Джим решил не отправлять Саре запрос, а просто предоставил ей свой ключ. При настройках по умолчанию сайт автоматически отправил Джиму ключ Сары без ее разрешения.

Дело в том, что при загрузке снимка по умолчанию галочкой отмечена опция «Автоматически отправлять мой ключ пользователю после получения доступа к его ключу». Если галочку не снять, она будет автоматически появляться при загрузке каждого снимка данного типа.

После автоматической отправки ключа Саре придет соответствующее уведомление, и при желании она может отозвать свой ключ. Как показало проведенное исследователями тестирование, после автоматической отправки отзывают свои ключи менее 1% пользователей.

Как бы то ни было, когда Сара отозвала свой ключ, Джиму все равно виден URL-адрес фотографий. С его помощью не только Джим, но любой желающий, даже не зарегистрированный на сайте пользователь, может увидеть и само фото.

Теги:
утечка информации
Источник:
SecurityLab
971
ДРУГИЕ НОВОСТИ
3 Июль 2020 safeum news imgage Полиция произвела множество арестов, взломав защищённый мессенджер
4 Май 2020 safeum news imgage Европол сообщил об аресте членов польской хак-группы Infinity Black
12 Дек 2019 safeum news imgage Шифрование под угрозой. Как это отразится на нас
4 Ноя 2019 safeum news imgage Должны ли важные решения приниматься на основании лишь фактов, или интуиция имеет право на жизнь?
7 Июнь 2018 safeum news imgage Ворующий данные вирус для роутеров умеет обходить шифрование
4 Июнь 2018 safeum news imgage Мошенники атакуют пользователей сервиса Booking.com
1 Июнь 2018 safeum news imgage Оператор крупнейшей точки обмена трафиком подал в суд на немецкую спецслужбу
30 Май 2018 safeum news imgage ФБР выявило два инструмента северокорейских кибершпионов
29 Май 2018 safeum news imgage Новый закон позволил европейцам требовать миллиарды у Google и Facebook
25 Май 2018 safeum news imgage Предустановленное вредоносное ПО обнаружили на сотнях моделей смартфонов
24 Май 2018 safeum news imgage GPS-трекеры для домашних животных позволяют следить за их хозяевами
23 Май 2018 safeum news imgage К Google подали иск из-за слежки за пользователями iPhone
21 Май 2018 safeum news imgage Данные о местоположении всех смартфонов в США оказались в открытом доступе
18 Май 2018 safeum news imgage Власти США запустили фальшивое ICO
17 Май 2018 safeum news imgage Хакеры похитили сотни миллионов у банков Мексики
Все новости
SafeUM
Конфиденциальность Правила использования Наши технологии О компании
Контакты
Скачать
SafeUM © Безопасный универсальный мессенджер

Axarhöfði 14,
110 Reykjavik, Iceland

Iceland - 2015