Facebook исправил крупный изъян в системе безопасности

Николай Головко 03 Февраля 2011 - 09:23

...

Исследователи из университета Индианы обнаружили уязвимость в Facebook, которая позволяла неавторизованным лицам получать доступ к данным пользователей. Сотрудники социальной сети довольно оперативно внесли требуемые модификации, так что на данный момент конфиденциальности личных сведений ничто не угрожает.

В письме редакции Интернет-издания eWeek выявившие изъян студенты Жуй Ван и Чжоу Ли пояснили, что ошибка была найдена в механизме аутентификации Интернет-ресурсов; посторонний сайт можно было выдать за доверенный и получить все его привилегии.

Например, поисковая машина Microsoft - Bing.com - по умолчанию обладает правами на доступ к основным сведениям о пользователях Facebook; эксплуатируя уязвимость, вредоносный сайт мог выдать себя за Bing и извлечь информацию, которая в обычных условиях была бы для него недоступна. Есть и другие ресурсы, которые располагают еще большими привилегиями - например, на доступ к персональным данным участников социальной сети и на републикацию того или иного содержимого на Facebook от их имени; соответственно, притворившись одним из таких узлов (например, NYTimes, ESPN, YouTube, FarmVille и т.д.), сайт злоумышленников мог бы похитить личные сведения или автоматически разместить в социальной сети сообщение любого рода.

Как отмечалось выше, Facebook быстро закрыл уязвимость и поспешил заверить участников, что признаков эксплуатации изъяна отмечено не было. "Обеспечение безопасности для нас является задачей наивысшего приоритета, и мы выделяем значительные ресурсы на защиту учетных записей пользователей и их персональных данных", - заявил, в частности, представитель социальной сети. - "Мы постоянно находимся в контакте с экспертами в области безопасности по всему миру и активно сотрудничаем с ними в тех редких случаях, когда им все же удается обнаружить уязвимость в Facebook".

Ведущий технический консультант Sophos Грэм Клалей в своем блоге заметил, что ему не сразу удалось воспроизвести атаку при помощи созданного студентами тестового сайта. Специалист связал это с жесткими настройками конфиденциальности, которые он установил в своем профиле. Однако после установки фирменного приложения от ESPN эксплойт отработал вполне успешно, сумев извлечь личные данные эксперта и разместить от его имени "вредоносную" ссылку.

Следующая главная новость »

Карьера в информационной безопасности. Что ждёт в 2026 году? Обсудим на эфире AM Live, присоединяйтесь! »

Екатерина Быстрова 15 Января 2026 - 10:40

Информационные войны Утечки информации Умышленные утечки информации Кража данных Общее

Взлом MAX оказался фейком: в мессенджере опровергли утечку данных

История о «полном взломе» национального мессенджера MAX оказалась фейком. Информацию, которая накануне разошлась по телеграм-каналам, в самой платформе назвали недостоверной и не имеющей отношения к реальности.

Как сообщили ТАСС в пресс-службе MAX, сообщение об утечке данных поступило из анонимного источника и не подтвердилось по итогам проверки. «Информация из анонимного источника — очередной фейк», — подчеркнули представители мессенджера в ответ на запрос агентства.

После появления слухов специалисты центра безопасности MAX провели проверку и не нашли никаких признаков компрометации. В компании отдельно уточнили, что платформа не использует зарубежные сервисы хранения данных, включая Amazon AWS, а все данные пользователей хранятся исключительно на российских серверах.

Кроме того, в MAX не применяется метод хеширования паролей Bcrypt, анализ логов не выявил подозрительной активности, а обращений по этому поводу в программу баг-баунти также не поступало.

Отдельно в компании прокомментировали «доказательства», которые анонимные авторы публиковали в сети. По словам представителей MAX, эти данные не имеют никакого отношения к мессенджеру.

Платформа просто не хранит информацию в том формате, который был выложен: в MAX отсутствуют сведения о локации, дате рождения, электронной почте, ИНН, СНИЛС и других персональных данных. Более того, в мессенджере нет username и «уровней аккаунта» — пользователей там в принципе не маркируют по каким-либо «уровням».

Напомним, ранее анонимная группа заявила, что якобы в течение года пыталась взломать MAX и смогла скопировать базу из 15-15,4 млн аккаунтов, включая ФИО, логины и номера телефонов. В качестве подтверждения в Сеть была выложена часть якобы похищенных данных.

Однако после реакции MAX и публикаций в СМИ пользователь, распространивший информацию об утечке, признал, что это был фейк и никакого взлома не происходило.

В итоге в компании резюмировали коротко и однозначно:

«Данные пользователей MAX надёжно защищены».

А вся история с «масштабной утечкой» оказалась очередным примером того, как анонимные вбросы могут быстро разойтись по Сети — и так же быстро рассыпаться при проверке фактами.

Карьера в информационной безопасности. Что ждёт в 2026 году? Обсудим на эфире AM Live, присоединяйтесь! »