Баг на сайте LifeLock раскрыл имейлы миллионов подписчиков

Баг на сайте LifeLock раскрыл имейлы миллионов подписчиков

Баг на сайте LifeLock раскрыл имейлы миллионов подписчиков

Компания LifeLock, обеспечивающая защиту пользователей от кражи личности (Identity theft), могла сама стать причиной успешных атак киберпреступников. На сайте компании была найдена уязвимость, которая позволяла любому индексировать адреса электронной почты, привязанные к миллионам аккаунтов клиентов. Также с помощью этой бреши можно было отписать пользователя от любых услуг LifeLock.

Таким образом, злоумышленники могли вполне собрать достаточное количество разнообразной информации о пользователях, которая в дальнейшем могла быть использована в атаках целевого фишинга.

Специалисты в области кибербезопасности сошлись во мнении, что разработчик сайта LifeLock недостаточно хорошо понимает, что такое аутентификация и безопасность веб-ресурса.

Обратите внимание на скриншот выше, там отчетливо можно разобрать в ссылке «subscriberkey=», за которым следует номер. Этот номер соответствует учетной записи клиента LifeLock. Следовательно, грамотный специалист может запросто написать скрипт, который «вытащит» адреса электронной почты каждого подписчика компании.

Специалист Нейтан Риз даже поэкспериментировал, написав POC-код, который упорядочивал ID-номера и вытаскивал адреса электронной почты. Эксперт утверждает, что киберпреступники вполне могут воспользоваться похожим методом, чтобы организовать кампанию целевого фишинга.

Android без лишнего контроля: LineageOS отказалась идти на поводу у Google

Пока Google готовится закрутить гайки для установки приложений на Android, команда LineageOS решила успокоить своих пользователей: на устройства с этой кастомной прошивкой новая система проверки разработчиков не повлияет.

Речь идёт об Android Developer Verification — механизме, который Google начнёт вводить с 30 сентября 2026 года.

Сначала правила заработают в Бразилии, Индонезии, Сингапуре и Таиланде, а в 2027 году распространятся глобально. Суть в следующем: приложения должны быть зарегистрированы на верифицированного разработчика; неважно, скачаны они из Google Play, стороннего магазина или установлены APK-файлом.

Для обычных сертифицированных Android-устройств с Google Mobile Services всё станет сложнее. Приложения от непроверенных разработчиков не заблокируют намертво, но пользователям придётся устанавливать их через новый продвинутый сценарий сторонней загрузки или через ADB.

LineageOS в эту схему не попадает. Проект не поставляется с Google Mobile Services, не проходит сертификацию Google и не включает компонент, через который будет работать новая проверка.

Даже если пользователь сам установит Google-приложения через GApps, команда LineageOS не ожидает, что такие пакеты начнут включать спорную функцию: кому вообще нужен GApps, который добровольно делает установку APK больнее?

Разработчики допускают, что Google однажды может перенести проверку в Play Services. Но и тут позиция LineageOS непоколебима: если такое случится, функцию просто отключат, как уже делают с некоторыми механизмами обновлений на базе Play Services.

При этом LineageOS не спорит с тем, что борьба с вредоносными приложениями нужна. Но проект разделяет опасения F-Droid, EFF и кампании Keep Android Open: под видом безопасности Google может получить ещё больше контроля над распространением приложений на Android. Поэтому LineageOS подписала петицию Keep Android Open вместе с другими опенсорс-организациями.

RSS: Новости на портале Anti-Malware.ru