Yahoo выплатила экспертам тысячи долларов за найденные уязвимости

Олег Иванов 06 Июня 2017 - 09:35

...

Yahoo выплатила экспертам тысячи долларов за найденные уязвимости

Yahoo выплатила тысячи долларов исследователям, которым удалось найти серьезные уязвимости в системах компании. Эксперты, обнаружившие бреши опубликовали в блоге свои выводы.

Исследователь, известный онлайн как Th3G3nt3lman утверждает, что получил от Yahoo 5 500 долларов за обнаружение уязвимости, приводящей к удаленному выполнению кода в Apache Struts 2. Также эксперты обнаружили недостаток в субдомене Yahoo, в котором размещена страница входа маркетингового продукта Selligent.

Брешь в Struts 2 получила идентификатор CVE-2017–5638, злоумышленники начали активно использовать ее в марте. Также эта уязвимость влияет на продукты и системы многих компаний, включая Cisco, VMware и AT&T.

Согласно Th3G3nt3lman, первоначальный эксплойт, опубликованный для CVE-2017-5638, не работал на веб-сайте Yahoo. Однако позже ему удалось обнаружить другой эксплойт, способный обойти защиту веб-приложений (WAF) и привести к удаленному выполнению кода.

Сэм Керри (Sam Curry), исследователь в области криптографии и информационной безопасности, также опубликовал в блоге сообщение, в котором описывается критическая уязвимость в системе, принадлежащей Yahoo. Керри обнаружил ошибку на веб-сайте с потоковым видео SnackTV, который Yahoo приобрела в конце 2014 года.

Эксперты утверждают, что на сайт SnackTV повлияла уязвимость ImageMagick, известная как ImageTragick. Она была раскрыта в мае 2016 года, на тот момент злоумышленники уже использовали ее в реальных атаках.

Исследователи обратили внимание, что сервер, о котором идет речь, не был уязвим к общей атаке ImageTragick, но после некоторой настройки они смогли получить эксплойт для работы и произвести инъекцию. Yahoo исправила ошибку в течение двух дней после ее изучения и выплатила экспертам 3000 долларов.

Следующая главная новость »

Удалённый доступ 2026: почему VPN устарел и что вместо него?
Регистрируйтесь на эфир!

Яков Шпунт 12 Мая 2026 - 12:01

GenAI (генеративный искусственный интеллект) Домашние пользователи Корпорации

Американские разработчики ИИ-моделей выявляют и банят россиян

Разработчики моделей искусственного интеллекта (ИИ) Claude, ChatGPT и Gemini активно выявляют пользователей из неподдерживаемых регионов, включая Россию, и блокируют им доступ. При этом чем крупнее проект, тем выше риск столкнуться с ограничениями.

Недавно стало известно о масштабной блокировке российских пользователей компанией Anthropic, которой принадлежит ИИ-модель Claude. По данным СМИ, она затронула сотни людей и компаний. При этом удалялись все данные и аналитика, хотя деньги за подписки возвращались.

Как отметил директор по экспериментальным продуктам MWS AI, входящей в МТС Web Services, Сергей Пономаренко в беседе с РИА Новости, зарубежные разработчики продолжат применять такую практику в отношении россиян. По его оценке, под наиболее серьёзной угрозой находятся крупные проекты, по которым есть признаки корпоративного использования. Это связано с соблюдением санкционных ограничений, введённых властями США ещё в 2024 году.

«Американские компании-разработчики ИИ Anthropic, OpenAI и Google активно применяют инструменты выявления пользователей из неподдерживаемого региона и будут дальше совершенствовать их, поэтому россиян ждут новые волны блокировок в Claude, ChatGPT и Gemini», — предупредил Сергей Пономаренко.

По его словам, ограничения вводятся постепенно. Российские IP-адреса долгое время могли помечаться в базах, которыми пользуются зарубежные компании, как европейские, однако со временем такие данные уточняются. В результате сетевые адреса начинают определяться как российские, после чего к ним применяются ограничения.

Использование прокси и VPN зарубежные компании также могут отслеживать. «Подозрение могут вызвать постоянные входы из разных стран за короткое время, использование известных VPN или прокси, слишком большое количество запросов, массовое создание аккаунтов, а также попытки обойти блокировки или фильтры безопасности», — пояснил эксперт.

Часто сомнительные учётные записи сначала отправляют на проверку и не блокируют полностью. Доступ к ним могут восстановить после обращения в техническую поддержку. Однако при удалении аккаунта уничтожаются все данные. При этом сами диалоги владельцы ИИ-моделей могут сохранять, что создаёт дополнительные риски утечки информации.

Удалённый доступ 2026: почему VPN устарел и что вместо него?
Регистрируйтесь на эфир!