Хакеры отомстили за аресты своих коллег

Недавно в новостных изданиях появлялись сообщения о том, что было арестовано 14 участников группы Anonymous, совершивших в декабре взлом серверов PayPal. Сегодня стало известно, что их коллеги из AntiSec нанесли ответный удар, который пришелся на сайт академии ассоциации шерифов штата Миссури. В результате оказались скомпрометированы персональные данные более 7000 служащих правоохранительных органов.

Отдельно стоит сказать, что сайт академии ассоциации Missouri Sheriff's Association является ресурсом, предназначенным для обучения сотрудников правоохранительных органов. Здесь будущие офицеры полиции изучают различные дисциплины, в числе которых есть программы по информационной безопасности.

Итак, в числе опубликованных данных, как утверждается, оказались не только имена и адреса офицеров полиции, но и их номера социального страхования, номера телефонов, а также аутентификационные данные к их учетным записям на сайте. Стоит заметить, что один из пострадавших, просмотрев опубликованный список, подтвердил верность информации.

Примечательным является то, что пароли, используемые сотрудниками, оказались на редкость простыми: это были либо слова, либо имена и номера нагрудных значков. И как это обычно бывает, эти же пароли оказались действительными к учетным записям на других ресурсах.

Это достаточно веское доказательство того, что правоохранительные органы недостаточно серьезно относятся к системам безопасности сайта и с успехом провалили защиту баз данных, не установив единовременные хеши паролей, чтобы не допустить их утечки.

Кроме того, AntiSec заявили, что у них имеется список имен и персональные данные анонимных информаторов полиции и заключенных, а также им удалось извлечь сотни внутренних документов используемых при обучении персонала. И в довесок к своему «послужному списку» хакеры добавили еще 70 ресурсов правоохранительных органов других штатов. Однако эта информация не подтверждена.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Google лишит Chrome уникальной функции безопасности XSS Auditor

Разработчики Google собираются лишить Chrome одной из функций безопасности, известной под именем XSS Auditor. Специалисты считают, что XSS Auditor не оправдала ожиданий и не справляется со своими обязанностями.

Функцию XSS Auditor добавили в далеком 2010 году с релизом Chrome v4. Как можно понять из имени, эта опция ищет в исходном коде страниц ресурсов паттерны, которые могут указывать на XSS-атаку.

Если известный браузеру XSS-паттерн найден, Chorme может удалить вредоносный код или заблокировать сайт целиком. Если ресурс блокируется полностью, обозреватель выводит пользователю сообщение «страница не работает».

На протяжении многих лет XSS Auditor была уникальной функцией для браузера Chrome, помогая ему качественно выделяться на фоне других подобных программ. Уже позже в других интернет-обозревателях эти возможности реализовали с помощью расширений.

Основная причина, по которой разработчики решили отказаться от XSS Auditor, заключается в большом количестве уязвимостей, позволяющих вредоносным сайтам обойти эту защитную функцию.

Еще один немаловажный мотив — ложные срабатывания, которые, так или иначе, преследуют XSS Auditor. В этом случае пользователь просто не может зайти на вполне безобидный и легитимный сайт.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru