Facebook предложит пользователям сервис одноразовых паролей

Facebook предложит пользователям сервис одноразовых паролей

Участники социальной сети, которых беспокоит риск раскрытия учетных данных при работе на публичных компьютерах либо машинах их друзей / знакомых / соседей и т.п., отныне могут спать спокойно: Facebook вводит в действие систему выдачи и обработки одноразовых паролей. Новый функционал будет доступен пользователям, которые ассоциировали свою учетную запись с номером мобильного телефона.



"Просто отправьте SMS-сообщение с текстом "otp" на номер 32665, и в ответ вам будет выслан пароль. Использовать его можно только один раз и не позднее, чем через 20 минут после отправки", - написал в своем блоге менеджер по продуктам Facebook Джейк Брилл. - "Чтобы эта функция работала, в вашем профиле должны присутствовать сведения о мобильном номере. Система будет активироваться постепенно; в течение нескольких последующих недель она должна стать доступной для всех участников".


Представитель Facebook также указал, что пользователям необходимо будет подтвердить взаимосвязь профиля и номера телефона; для этого в особом SMS-сообщении им будет отправлен идентификационный код, который потребуется ввести на сайте социальной сети. В то же время на данный момент нет возможности предотвратить перехват пароля посторонними лицами, если у них имеется доступ к мобильному аппарату участника. "К сожалению, мы не можем обеспечить защиты от абсолютно всех вероятных инцидентов. Если кто-либо способен воспользоваться вашим телефоном в злонамеренных целях, то в его распоряжении - обширный спектр возможностей", - предупредил сотрудник компании.


Стоит, однако, заметить, что служба коротких сообщений уже не в первый раз используется для обеспечения безопасности - так, Microsoft недавно ввела систему сброса пароля через мобильный телефон для пользователей популярного почтового сервиса Hotmail.


Кроме того, г-н Брилл уведомил сообщество Facebook о завершении работ по внедрению системы удаленного выхода из сети. Anti-Malware.ru писал об этой инициативе ранее.


eWeek

В ONLYOFFICE нашли цепочку уязвимостей: достаточно открыть один файл

Эксперты BI.ZONE обнаружили в ONLYOFFICE Desktop Editors цепочку уязвимостей OnlyShells, которая позволяла атакующему выполнить произвольный код и повысить привилегии в Windows. Жертве достаточно открыть специально подготовленный офисный документ.

Никаких макросов, кнопок «Разрешить содержимое» и долгих уговоров — атака относится к классу 1-click.

Сначала злоумышленник мог использовать сразу несколько уязвимостей для запуска своего кода в системе. Затем ещё одна проблема позволяла повысить права до привилегированного пользователя. В результате атакующий получал максимально широкий доступ к компьютеру.

Причиной стали недостаточная проверка пользовательских данных и устаревшие зависимости. Отдельным уязвимостям присвоили оценки до 6,4 по шкале CVSS 3.1, но в связке их опасность заметно возрастала.

По оценке BI.ZONE TDR, ONLYOFFICE используют около 30% российских компаний. Сам разработчик заявляет о более чем 15 млн пользователей по всему миру.

В BI.ZONE отмечают, что современные средства защиты могут не заметить сам момент эксплуатации цепочки. То есть пользователь просто открывает документ, а дальше система уже начинает жить немного не своей жизнью.

Разработчика уведомили в рамках ответственного раскрытия, после чего он выпустил исправление. Пользователям рекомендуют обновить ONLYOFFICE Desktop Editors до версии 9.3.0.

RSS: Новости на портале Anti-Malware.ru