Facebook исправил крупный изъян в системе безопасности
Главная » Новости

Facebook исправил крупный изъян в системе безопасности

Николай Головко 03 Февраля 2011 - 09:23
...

Исследователи из университета Индианы обнаружили уязвимость в Facebook, которая позволяла неавторизованным лицам получать доступ к данным пользователей. Сотрудники социальной сети довольно оперативно внесли требуемые модификации, так что на данный момент конфиденциальности личных сведений ничто не угрожает.



В письме редакции Интернет-издания eWeek выявившие изъян студенты Жуй Ван и Чжоу Ли пояснили, что ошибка была найдена в механизме аутентификации Интернет-ресурсов; посторонний сайт можно было выдать за доверенный и получить все его привилегии.


Например, поисковая машина Microsoft - Bing.com - по умолчанию обладает правами на доступ к основным сведениям о пользователях Facebook; эксплуатируя уязвимость, вредоносный сайт мог выдать себя за Bing и извлечь информацию, которая в обычных условиях была бы для него недоступна. Есть и другие ресурсы, которые располагают еще большими привилегиями - например, на доступ к персональным данным участников социальной сети и на републикацию того или иного содержимого на Facebook от их имени; соответственно, притворившись одним из таких узлов (например, NYTimes, ESPN, YouTube, FarmVille и т.д.), сайт злоумышленников мог бы похитить личные сведения или автоматически разместить в социальной сети сообщение любого рода.


Как отмечалось выше, Facebook быстро закрыл уязвимость и поспешил заверить участников, что признаков эксплуатации изъяна отмечено не было. "Обеспечение безопасности для нас является задачей наивысшего приоритета, и мы выделяем значительные ресурсы на защиту учетных записей пользователей и их персональных данных", - заявил, в частности, представитель социальной сети. - "Мы постоянно находимся в контакте с экспертами в области безопасности по всему миру и активно сотрудничаем с ними в тех редких случаях, когда им все же удается обнаружить уязвимость в Facebook".


Ведущий технический консультант Sophos Грэм Клалей в своем блоге заметил, что ему не сразу удалось воспроизвести атаку при помощи созданного студентами тестового сайта. Специалист связал это с жесткими настройками конфиденциальности, которые он установил в своем профиле. Однако после установки фирменного приложения от ESPN эксплойт отработал вполне успешно, сумев извлечь личные данные эксперта и разместить от его имени "вредоносную" ссылку.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

УБК МВД предупредило о фишинге под видом оплаты проезда на платных трассах
Яков Шпунт 04 Июля 2025 - 12:00
ФишингМошенничествоОнлайн-мошенничество Домашние пользователи
УБК МВД предупредило о фишинге под видом оплаты проезда на платных трассах

Управление по организации борьбы с противоправным использованием инфокоммуникационных технологий МВД России (УБК МВД) предупредило о массовых фишинговых атаках, связанных с оплатой проезда по платным дорогам.

Как сообщил официальный телеграм-канал профильного главка МВД «Вестник киберполиции России», фишинг под видом оплаты платных дорог стал одним из наиболее распространённых сценариев атак. В частности, в зоне риска оказался Московский скоростной диаметр (МСД).

«Злоумышленники создают сайты, визуально почти неотличимые от официальных, которые индексируются в поисковых системах. После ввода реквизитов банковской карты и суммы платежа деньги списываются, однако проезд так и остаётся неоплаченным. Полученные данные карт впоследствии используются мошенниками в личных целях», — говорится в сообщении УБК МВД.

За последний месяц было заблокировано более 10 фишинговых ресурсов, внешне практически не отличимых от настоящих (например, с адресами вроде msd-avtodor-tr, msdmoss). Максимальный зафиксированный ущерб для одного пользователя составил 22 тысячи рублей.

УБК МВД рекомендует не игнорировать предупреждения браузеров и защитных систем о фишинговых сайтах. Безопасную оплату проезда следует осуществлять через портал Госуслуг, приложение «Парковки России» или официальные банковские приложения.

Фишинг остаётся одной из основных киберугроз последних лет — как для частных пользователей, так и для бизнеса. Особенно опасными становятся фишинговые атаки с применением генеративного искусственного интеллекта: по своей эффективности они всё больше приближаются к целевым атакам.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
С клона сайта Bitdefender раздается Venom RAT в связке с инфостилером
Новость
С клона сайта Bitdefender раздается Venom RAT в связке с инф...
Мошенники плодят фейки Google Play Store для раздачи Android-трояна SpyNote
Новость
Мошенники плодят фейки Google Play Store для раздачи Android...
Т2 и ВТБ обеспечат дополнительную защиту от телефонных мошенников
Новость
Т2 и ВТБ обеспечат дополнительную защиту от телефонных мошен...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.