Во-первых, страница стала доступна и незарегистрированным пользователям (возможно, идентификатор сессии и был включен ради этого, а не просто по неосторожности). Во-вторых, после ее открытия переход по ссылкам верхнего меню ("Моя страница", "Мои сообщения") приводит к отображению соответствующих страниц случайных (или не очень) пользователей сервиса, дает просматривать личные сообщения, фотографии, редактировать профиль и т.п.

По одной из версий, таким образом засвечивается страница пользователя, перед этим прошедшего по ссылке с идентификатором сессии. Если это предположение правильно, то существует возможность целенаправленной атаки путем заманивания на соответствующую ссылку. Звучит вполне правдоподобно, впрочем, однозначно подтвердить эту версию, попеременно заходя с нескольких аккаунтов, лично мне не удалось - то ли поток желающих пройтись по ссылке стал слишком велик, то ли источник проблемы все-таки в чем-то другом.

Похоже, что ошибки вокруг запоминания логина становятся настоящим бичом онлайновых сервисов.

Update. Дырку довольно оперативно закрыли, но, судя по интенсивно меняющимся в последние минуты ее существования фотографиям и именам, желающих покуражиться над чужими аккаунтами оказалось не так уж мало (а что было бы, попади эти 3.5 часа на пик рабочего времени, и представить страшно). Так что пользователям из "группы риска", сходившим по носиковской ссылке, как минимум стоит наведаться на свою страницу.

Источник: dolboeb lj

теги: leak  |  предложить новость  |  обсудить  |  все отзывы (0)

[27892]

назад «  » вперед

аналогичные материалы Утечка сертификатов GitHub Desktop и Atom // 31.01.23 21:59 Очередной взлом LastPass: все хуже, чем казалось // 26.12.22 17:26 Dropbox посеял 130 репозиториев // 02.11.22 02:34 Крупнейшая утечка из облачного хранилища Microsoft // 20.10.22 22:59 Крупный взлом GoDaddy // 23.11.21 20:52 Have I Been Pwned начнёт получать скомпрометированные пароли от ФБР // 29.05.21 16:46 Крупного кибербезопасника FireEye обокрали «крайне изощренные хакеры» // 09.12.20 04:52

последние новостиBugTraq.Ru: последние новости Бэкдор в xz/liblzma, предназначенный для атаки ssh-серверов // 30.03.24 17:23 Три миллиона электронных замков готовы открыть свои двери // 22.03.24 20:22 Doom на газонокосилках // 28.02.24 17:19 Умер Никлаус Вирт // 04.01.24 14:05 С наступающим // 31.12.23 23:59 Четверть приложений, использующих Log4j, до сих пор уязвима // 11.12.23 18:29 Google Drive находит файлы // 07.12.23 01:46