Mozilla провела аудит безопасности системы Firefox Accounts

Олег Иванов 20 Июля 2017 - 14:31

Домашние пользователи

Mozilla

Системы для анализа защищенности информационных систем

Аудит безопасности веб-сайта (сканер уязвимостей веб-сайта)

Средства поиска уязвимостей

Брутфорс

...

Mozilla провела аудит безопасности системы Firefox Accounts

Mozilla попросила немецкую фирму Cure53 провести аудит системы учетных записей Firefox Accounts, исследователи выявили в общей сложности 15 брешей, включая уязвимости с критическим и высоким уровнем опасности.

Firefox Accounts – система, позволяющая пользователям Firefox получить доступ к сервисам Mozilla. Поскольку эта система представляет собой службу централизованной аутентификации Firefox, она может стать целью для хакеров, поэтому Mozilla решила протестировать Firefox Accounts на уязвимости.

Тесты, проведенные исследователями Cure53 в течение одного месяца, с сентября по октябрь 2016 года, выявили 15 проблем с безопасностью, из них шесть уязвимостей, и девять общих недочетов.

Самая серьезная уязвимость представляет собой критический баг, позволяющий хакерам проводить как XSS-атаки, так и атаки без участия скриптов, результатом которых может стать успешный фишинг и похищение конфиденциальной инфомрации. Одна Mozilla отметила, что для успешной эксплуатации этой бреши требуется регистрация так называемого Firefox Accounts relier.

Следующая из уязвимостей имеет высокий уровень опасности, она может привести к произвольному выполнению команды, если злоумышленник сможет определить локацию для запуска приложения.

Список недостатков высокой степени также включает в себя еще одну XSS-брешь и слабость шифрования, которая может быть использована для повышения эффективности атаки брутфорс. Другие проблемы, выявленные исследователями, классифицируются как имеющие низкую или среднюю степень риска.

Большинство уязвимостей были устранены, и Mozilla заявила, что ни одна из них не была использована в реальных атаках.

Следующая главная новость »

Удалённый доступ 2026: почему VPN устарел и что вместо него?
Регистрируйтесь на эфир!

Екатерина Быстрова 07 Мая 2026 - 15:22

Домашние пользователи Парольная защита (пароли) ГК «Солар»

47% россиян ставят один пароль на разные аккаунты

ГК «Солар» ко Всемирному дню пароля провела исследование о том, как пользователи обращаются с паролями. Результаты получились интересными: 47% опрошенных используют один и тот же пароль для разных учётных записей. Если такой пароль утечёт из одного сервиса, злоумышленники почти наверняка попробуют его в почте, соцсетях, маркетплейсах и банковских приложениях.

Ещё одна проблема — редкая смена паролей. 60% респондентов обновляют их реже одного раза в год, а 21% не меняют вообще.

При этом каждый пятый участник опроса уже сталкивался с неприятностями из-за старого пароля: несанкционированным доступом к аккаунтам, кражей персональных данных или финансовыми потерями.

Большинство пользователей выбирают пароли длиной от 8 до 12 символов. Формально это похоже на базовый минимум, но одной длины уже недостаточно. Если пароль простой, повторяется на разных сайтах или основан на очевидной комбинации, он всё равно остаётся слабым.

Исследование также показало, что 81% респондентов не обновляют пароли регулярно. 36% не видят в этом смысла, 33% считают процедуру неудобной, а 29% просто забывают. Многие полагаются только на напоминания от сервисов.

Отдельный тревожный момент — способы хранения. Пользователи часто запоминают пароли или записывают их в бумажные блокноты, вместо того чтобы использовать менеджеры паролей.

В ГК «Солар» напоминают, что слабые пароли остаются одной из главных проблем безопасности. В 2025 году эксперты DSEC, входящего в группу, называли их основным недостатком ИТ-систем российских компаний.

Свежий пример риска — фишинговый сайт «Цифровой щит», обнаруженный в апреле 2026 года. Он маскировался под просветительский ресурс по кибербезопасности и предлагал пользователям проверить надёжность пароля. На деле такой сканер собирал реальные пароли, которые затем могли использоваться для атак.

Напомним, специалисты Kaspersky проанализировала 231 млн уникальных паролей, попавших в крупные утечки с 2023 по 2026 год, в том числе в России. Пользователи по-прежнему любят простые комбинации, даты, имена и клавиатурные последовательности.

Сегодня мы также сообщали, что часть россиян доверяет нейросетям создание паролей для рабочих аккаунтов.

Удалённый доступ 2026: почему VPN устарел и что вместо него?
Регистрируйтесь на эфир!