Уязвимость GitLab позволяла захватывать пользовательские домены

Уязвимость GitLab позволяла захватывать пользовательские домены

Исследователю в области безопасности удалось захватить сотни доменов GitLab всего за несколько секунд. Это стало возможным из-за того, как компания обрабатывала верифицирование домена. На данный момент эта проблема устранена.

GitLab позволяет разработчикам взаимодействовать с исходным кодом и разработкой проектов, также предоставляя возможность размещать собственный контент и проекты с пользовательским доменным именем.

Однако 5 февраля стало известно, что никакой проверки не выполняется в момент, когда пользователь добавляет домен к своим учетным записям GitLab. Домен может быть захвачен за тот короткий период, когда пользовательский домен будет указывать на недавно удаленный или невостребованный репозиторий GitLab.

Эдвин Фудиль (Edwin Foudil), известный под онлайн-псевдонимом EdOverflow, являющийся основателем фирмы, занимающейся вопросами безопасности Penultimate, использовал отчет об ошибке от 1-го ферваля, который содержал код proof-of-concept, в котором перечислены уязвимые пользовательские домены, указывающие на GitLab.

Поскольку GitLab позволяет указывать неограниченное количество доменов для одного репозитория, Фудиль написал короткий скрипт, который помог ему захватить неограниченное количество доменов.

«Это позволило мне захватить 700 доменов и поддоменов за одну минуту», — утверждает специалист.

Этого было достаточно для того, чтобы разработчики GitLab обратили внимание на эту проблему, устранив ее впоследствии.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Одного из членов The Dark Overlord приговорили к пяти годам тюрьмы

Гражданин Великобритании, принимавший участие в деятельности киберпреступной группы The Dark Overlord (TDO), получил тюремный срок. По данным следствия, на счету злоумышленника попытки вымогательства у десятков компаний по всему миру.

39-летнему Натану Френсису Уайетту дали пять лет тюрьмы, а также обязали выплатить $1 467 048 жертвам кампаний The Dark Overlord.

Согласно материалам дела, Уайетт присоединился к киберпреступной группировке в 2016 году. The Dark Overlord взламывала крупные компании, похищала внутренние данные и затем требовала выкуп, который бы гарантировал, что конфиденциальная информация никуда не просочится.

Если жертвы отказывались платить вымогателям, те продавали все похищенные данные на хакерских форумах, распространяли их в Сети и даже сливали журналистам информацию об утечке, чтобы ударить по репутации атакованной организации.

Основная роль осуждённого преступника в этой схеме заключалась в общении с жертвами и разъяснении им ситуации. Уайетт требовал у компаний выкуп, а попался на глупости — использовал зарегистрированный на себя телефонный номер.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru