Сервис MailChimp позволяет изменить адрес почты без ведома пользователя

Сервис MailChimp позволяет изменить адрес почты без ведома пользователя

В популярном почтовом сервисе MailChimp обнаружен недостаток, способный привести к утечке адресов электронной почты. Об этом сообщил в своем блоге эксперт в области безопасности Теренс Иден.

По словам господина Идена, проблема существует из-за того, что заголовок HTTP-referer передает конфиденциальную информацию при переходе пользователя на другой сайт. Эксперт обнаружил следующие записи в журналах своего сайта.

Эти записи были оставлены пользователями, перешедшими на сайт из системы MailChip. Как можно заметить, каждая ссылка уникальна, а пройдя по ним, можно увидеть письмо из рассылки, которая была отправлена пользователю.

Более того, ссылка ведет на веб-версию копии письма для конкретного пользователя, а внизу каждого такого письма есть ссылки для изменения адреса электронной почты.

Несмотря на то, что в процессе изменения адреса старый адрес будет отображен лишь частично, это проблему можно решить, нажав ссылку «отписаться». Это можно наблюдать на следующих картинках.

По словам специалиста, все, что нужно предпринять MailChimp — добавить к ссылкам rel="noreferrer", например:

<a href="https://example.com/" rel="noreferrer">

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Google обвинила двух россиян в создании мощного ботнета Glupteba

Google обвиняет двух граждан России в организации сложной кибероперации и создании ботнета. По словам американского интернет-гиганта, обвиняемые заразили более миллиона Windows-устройств по всему миру.

Дмитрий Старовиков и Александр Филиппов — именно эти имена фигурируют в обращении Google. Корпорация утверждает, что граждане России стояли за атаками ботнета Glupteba. Также упоминается множество аккаунтов Gmail и Google Workspace, которые помогали Филиппову и Старовикову в проведении кибератак.

Сеть ботов, согласно заявлению Google, использовалась в криминальных целях: для кражи и несанкционированного доступа к учётным данным пользователей Google-аккаунтов. С 2020 года злоумышленникам удалось заразить более миллиона компьютеров, работающих на Windows.

Киберкампания Glupteba набрала обороты до такого масштаба, что каждый день атакующим удавалось пополнить ряды ботов тысячами новых устройств. Как правило, заражать устройства преступникам удавалось с помощью вредоносных сайтов, заманивая на них жертв. Обычно такие ресурсы предлагали бесплатно скачать какой-либо софт.

«В любой момент вся мощь ботнета Glupteba могла быть направлена на организацию мощной DDoS-атаки. Стоит также отметить, что Glupteba отличается от других ботнетов сложной технической реализацией — например, использованием блокчейн-технологии», — пишет (PDF) Google в своём обращении в Федеральный окружной суд Южного округа Нью-Йорка.

По данным американской корпорации, операторы Glupteba атаковали цели в США, Индии, Бразилии, Вьетнаме и Юго-Восточной Азии.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru