Новые правила идентификации россиян в мессенджерах вступили в силу

Новые правила идентификации россиян в мессенджерах вступили в силу

Вчера, 5 мая, вступило в силу новое постановления правительства России, согласно которому пользователи мессенджеров должны обязательно идентифицироваться по номеру телефона.

С этого дня сервисы обмена сообщениями должны будут проверять регистрацию у мобильного оператора номера телефона, указанного пользователем мессенджера. Сам оператор связи должен ответить мессенджеру в течение 20 минут.

Если этого не произойдет, идентификация конкретного абонента будет признана недействительной.

Если же в базе оператора найдется запрашиваемый номер, он должен будет указать, какими еще мессенджерами пользуется данный гражданин, после чего выдать ему специальный индивидуальный код.

Помимо этого, в обязанности оператора связи входит уведомление представителей мессенджера о расторжении договора с тем или иным абонентом. Эту процедуру провайдер должен уложить в 24 часа.

Напомним, что об этой инициативе стало известно в ноябре 2018 года. Как объясняет глава Роскомнадзора Александр Жаров, новые правила позволят правоохранителям успешнее вычислять преступников, которые используют для связи мессенджеры с функцией шифрования сообщений.

Также Жаров подчеркнул, что эти правила помогут сохранить тайну переписки пользователей.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Патч для WP-плагина Loginizer автоматом раздали на миллион сайтов

Команда, отвечающая за безопасность WordPress, принудительно обновила плагин Loginizer до сборки 1.6.4 у всех пользователей. Обновление содержит патч для опасной уязвимости, позволяющей взломать сайт посредством SQLi-атаки (SQL injection, внедрение SQL-кода). В настоящее время число установок Loginizer превышает 1 миллион.

Этот WP-плагин предназначен для защиты от брутфорса; он по умолчанию включен и ограничивает число попыток регистрации на сайте, блокируя IP-адреса, превысившие заданный лимит. Пользователь Loginizer также может оперировать черными и белыми списками IP, отсеивать боты с помощью тестов reCAPTCHA, ввести двухфакторную аутентификацию или установить беспарольный вход.

Согласно описанию уязвимости, возможность SQLi возникла из-за неадекватной санации входных данных, которые плагин записывает в базу на стороне сервера. Для эксплуатации данной уязвимости злоумышленнику достаточно внедрить SQL-оператор в имя пользователя, которое он вводит при попытке регистрации на сайте.

«Это позволяет без авторизации полностью скомпрометировать WordPress-сайт», — комментирует Райан Дьюхёрст (Ryan Dewhurst), основатель и гендиректор проекта WPScan, регистрирующего уязвимости в ядре CMS-системы, ее темах и плагинах.

Заплатка, включенная в состав сборки 1.6.4 Loginizer, устраняет SQLi, а также обеспечивает дополнительные проверки на случай XSS-атаки.

Ввиду высокой опасности уязвимости и обширности пользовательской базы плагина безопасники WordPress приняли решение принудительно пропатчить все затронутые сайты. Механизм, позволяющий массово произвести обновление, присутствует в WordPress с 2013 года, однако его редко используют — только в тех случаях, когда баг очень опасен и широко распространен. К тому же подобный шаг неизменно вызывает недовольство пользователей, запретивших автоматическую установку обновлений.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru