Сайт знакомств Ashley Madison, снискавший дурную славу два года назад после масштабной утечки личных данных своих пользователей, по-прежнему не способен обеспечить должную защиту конфиденциальности.
Независимый исследователь безопасности Мэтт Свенссон (Matt Svensson) и специалист компании Kromtech Security Боб Дяченко (Bob Diachenko) разработали метод атаки, с помощью которого им удалось получить доступ к большинству частных фотографий пользователей сайта.
Свенссон обнаружил в настройках сайта по умолчанию логическую ошибку, позволившую в итоге получить доступ к 64% конфиденциальных снимков. Исследователь сообщил Дяченко о своей находке, и вместе они проработали вектор атаки, о чем затем частным образом сообщили дочерней компании Ashley Madison под названием Ruby, занимающейся обеспечением безопасности данных.
На сайте Ashley Madison существует два типа фотографий – общедоступные и приватные. Первые могут видеть все, а для доступа ко вторым нужен специальный ключ. Один пользователь (назовем ее Сара) может отправить ключ другому (назовем его Джим) для доступа к своим приватным фото. Джим может отправить Саре запрос на доступ к ее закрытым снимкам, а Сара со своей стороны может его принять или отклонить.
Здесь есть две загвоздки. При установленных по умолчанию настройках, если Джим предоставит Саре свой ключ, сайт автоматически отправит ему ключ Сары. Более того, доступ к фотографиям можно получить по URL без какой-либо авторизации.
Допустим, Сара сделала все свои снимки закрытыми. Она отклонила два запроса на предоставление своих ключей, потому что отправившие их пользователи не вызвали у нее доверия. Однако Джим решил не отправлять Саре запрос, а просто предоставил ей свой ключ. При настройках по умолчанию сайт автоматически отправил Джиму ключ Сары без ее разрешения.
Дело в том, что при загрузке снимка по умолчанию галочкой отмечена опция «Автоматически отправлять мой ключ пользователю после получения доступа к его ключу». Если галочку не снять, она будет автоматически появляться при загрузке каждого снимка данного типа.
После автоматической отправки ключа Саре придет соответствующее уведомление, и при желании она может отозвать свой ключ. Как показало проведенное исследователями тестирование, после автоматической отправки отзывают свои ключи менее 1% пользователей.
Как бы то ни было, когда Сара отозвала свой ключ, Джиму все равно виден URL-адрес фотографий. С его помощью не только Джим, но любой желающий, даже не зарегистрированный на сайте пользователь, может увидеть и само фото.
