BugTraq.Ru
Русский BugTraq
https://bugtraq.ru/rsn/archive/2007/10/12.html

Утечка личной информации на Одноклассники.ru
dl // 31.10.07 22:18
Довольно забавная ошибка, хотя потенциально применимая для целенаправленного использования.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2007/10/12.html]
Проявилась в тот момент, когда Антон Носик опубликовал в своем журнале ссылку на одноклассническую страницу организатора беспорядков, случившихся на вчерашних политических дебатах. В ссылку был включен идентификатор сессии, что привело к весьма своеобразным последствиям.

Во-первых, страница стала доступна и незарегистрированным пользователям (возможно, идентификатор сессии и был включен ради этого, а не просто по неосторожности). Во-вторых, после ее открытия переход по ссылкам верхнего меню ("Моя страница", "Мои сообщения") приводит к отображению соответствующих страниц случайных (или не очень) пользователей сервиса, дает просматривать личные сообщения, фотографии, редактировать профиль и т.п.

По одной из версий, таким образом засвечивается страница пользователя, перед этим прошедшего по ссылке с идентификатором сессии. Если это предположение правильно, то существует возможность целенаправленной атаки путем заманивания на соответствующую ссылку. Звучит вполне правдоподобно, впрочем, однозначно подтвердить эту версию, попеременно заходя с нескольких аккаунтов, лично мне не удалось - то ли поток желающих пройтись по ссылке стал слишком велик, то ли источник проблемы все-таки в чем-то другом.

Похоже, что ошибки вокруг запоминания логина становятся настоящим бичом онлайновых сервисов.

Update. Дырку довольно оперативно закрыли, но, судя по интенсивно меняющимся в последние минуты ее существования фотографиям и именам, желающих покуражиться над чужими аккаунтами оказалось не так уж мало (а что было бы, попади эти 3.5 часа на пик рабочего времени, и представить страшно). Так что пользователям из "группы риска", сходившим по носиковской ссылке, как минимум стоит наведаться на свою страницу.

Источник: dolboeb lj      
теги: leak  |  предложить новость  |  обсудить  |  все отзывы (0) [27479]
назад «  » вперед

аналогичные материалы
Have I Been Pwned начнёт получать скомпрометированные пароли от ФБР // 29.05.21 16:46
Крупного кибербезопасника FireEye обокрали «крайне изощренные хакеры» // 09.12.20 04:52
Утекший код XP и Windows Server удалось собрать // 01.10.20 01:40
Microsoft сообщила о 44 миллионах аккаунтов, использующих утекшие пароли // 07.12.19 01:30
ЛК нашла бэкдор в ASUS Live Update // 25.03.19 22:09
Facebook хранил часть пользовательских паролей в открытом виде // 22.03.19 10:13
Попасть под лошадь // 27.07.18 14:39
 
последние новости
Have I Been Pwned начнёт получать скомпрометированные пароли от ФБР // 29.05.21 16:46
Microsoft начинает тестирование Linux GUI-приложений под Windows // 21.04.21 21:21
Новые санкции против российского инфобеза // 15.04.21 15:21
Столлман возвращается в FSF // 23.03.21 01:26
The Great Suspender предположительно превратился во вредоноса // 05.02.21 00:47
Десятилетняя уязвимость в sudo // 27.01.21 12:25
Блокировка Flash поломала китайскую железную дорогу // 24.01.21 22:17



  Copyright © 2001-2021 Dmitry Leonov Design: Vadim Derkach