Пользователи Vodafone оказались под ударом

Ксения Ренселаева 30 Сентября 2010 - 22:11

...

Румынским исследователем в области безопасности обнаружена уязвимость кроссайтового скриптинга (XSS) на сайтах компании Vodafone, расположенных в девяти доменных зонах. Кроме того, британский сайт компании уязвим к SQL инъекции.

Согласно сообщению, сайты Vodafone.com, Vodafone.com.au, Vodafone.de, Vodafone.es, Vodafone.it, Vodafone.gr , Vodafone.ie , Vodafone.ro, Vodafone.com.tr и Vodafone.in уязвимы к XSS атакам.

Как известно, существует несколько типов атак. Самой опасной из них является, так называемая, «персистентная» (persistent) атака. В этом случае вредоносный код перманентно хранится на сервере и изменяет вид целевых страниц.

Обнаруженная на сайтах Vodafone уязвимость имеет «отраженный» (reflected) тип. Для осуществления атаки необходимо, чтобы пользователь перешел по вредоносной ссылке. Этот тип уязвимости наиболее распространенный и считается менее опасным, чем первый. Но, тем не менее, через нее возможно осуществление фишинговых и других типов атак.

Что касается сайта британского представительства Vodafone, обнаруженная там уязвимость позволяет поводить атаки с помощью SQL инъекции. Этот тип атаки является более опасным, чем XSS, поскольку дает злоумышленникам доступ к базе данных. Кроме того, комбинируя SQL инъекцию с другими технологиями можно получить доступ к серверу. Этот тип уязвимости обычно используется для массовых атак, при внедрении вредоносного кода в легитимные сайты и британский сайт компании не остался в стороне.

Как известно, это не первая атака на Vodafone UK. В ноябре прошлого года, сайт vodafone.co.uk подвергся XSS атаке, когда злоумышленники под видом программы для проверки баланса рассылали клиентам компании троян. А летом этого года, компанией AVAST были обнаружены эксплойты, размещенные на страницах сайта Vodafone UK.

Румынский энтузиаст, известный под ником d3v1l, имеет большой послужной список по части выявления уязвимостей. С его помощью были обнаружены уязвимости у сайтов крупных компаний, таких как PayPal, Visa, US Bank, VeriSign, Mashable, Twitter, Tweetmeme и Symantec. Подробности об обнаруженных уязвимостях он опубликовал на своем блоге.

Следующая главная новость »

Реагирование на инциденты ИБ: что делать, когда всё уже случилось?
Регистрируйтесь!

Яков Шпунт 27 Апреля 2026 - 12:53

Ошибки конфигурации программ Сбои программ Домашние пользователи

Сайты не открываются: россияне жалуются на сбои из-за Защиты интернета

В России у многих пользователей стали некорректно загружаться веб-сайты. Наиболее вероятная причина — сбои в работе защиты от фишинговых и других потенциально опасных ресурсов, которую некоторые операторы связи включают самостоятельно. Проблемы начинают появляться после активации опции «Защита интернета», причём, по данным СМИ, операторы могут подключать её без явного согласия пользователей.

Как сообщает портал Digital Report, проблемы с доступом к веб-ресурсам наблюдаются в течение последних нескольких недель.

По данным издания, сервис основан на технологии глубокой инспекции пакетов (DPI). Представители операторов объясняют его использование попыткой действовать на опережение: злоумышленники всё чаще обходят базовые антифишинговые механизмы, основанные на сигнатурном подходе.

При этом число атак продолжает расти, как и ущерб от них. Превентивная защита должна снизить риски для пользователей, а вместе с ними — и количество претензий к операторам со стороны абонентов, пострадавших от мошеннических схем.

Однако такая защита может давать ложные срабатывания. Чаще всего проблемы возникают при обращении к облачным сервисам, отдельным корпоративным ресурсам и онлайн-играм.

Чтобы отключить функцию, пользователям приходится обращаться в техническую поддержку оператора, которая часто перегружена, либо самостоятельно искать нужную настройку. При этом, по словам абонентов, она может быть спрятана довольно глубоко.

Опрошенные изданием юристы отмечают, что действия операторов могут быть не вполне законными. Подключение услуг, даже бесплатных, требует явного согласия абонента. В противном случае такие действия можно расценивать как навязывание услуги, что противоречит требованиям законодательства о защите прав потребителей. Кроме того, подобная практика может нарушать принцип сетевой нейтральности.