Маршрутизаторы Comba и D-Link допускают утечку учетных данных

Маршрутизаторы Comba и D-Link допускают утечку учетных данных

Маршрутизаторы Comba и D-Link допускают утечку учетных данных

Специалисты компании Trustwave выявили в маршрутизаторах Comba и D-Link уязвимости, приводящие к утечке имени пользователя и пароля. Две бреши затрагивают D-Link DSL, ещё три — Comba Telecom Wi-Fi.

Как пояснили эксперты, проблемы связаны с небезопасным хранением учетных данных. Например, три уязвимости раскрывали всем пользователям, у которых был сетевой доступ, учетные данные в виде простого текста.

В Trustwave добавили, что многочисленные попытки выйти на представителей D-Link, Comba и сообщить им об этих проблемах не привели к результату — исследователей просто проигнорировали.

Однако всего несколько дней назад сотрудники D-Link отчитались об устранении обнаруженных багов. Оказалось, что проблемы безопасности затрагивали D-Link DSL-2875AL версий 1.00.01 и 1.00.05.

Брешь существовала благодаря файлу romfile.cfg, который был доступен без аутентификации каждому пользователю, который заходил по IP-адресу маршрутизатора, предназначенному для управления устройством. Файл хранился в https://[router ip address]/romfile.cfg, пароль в нем был в открытом виде.

Ещё одна дыра содержалась в DSL-2877AL — имя пользователя и пароль можно было найти в исходном коде страницы для входа в систему устройства. При желании атакующий мог легко извлечь эти данные.

Что касается Comba, уязвимость присутствовала в Comba AC2400 Wi-Fi. Ее суть заключалась в некорректном хранении конфигурационного файла. По специальному URL — https://[router ip address]/09/business/upgrade/upcfgAction.php?download=true — неаутентифицированный злоумышленник мог вычислить пароль.

Геолокацию россиян предложили передавать полиции в случае опасности

Депутаты фракции «Новые люди» предложили МВД запустить сервис «Безопасный маршрут» — функцию для передачи геопозиции человека в полицию и экстренные службы, если ему угрожает опасность. Идея такая: человек сам включает временную передачу маршрута и геолокации, когда чувствует риск для жизни, здоровья или личной безопасности.

Об инициативе сообщает ТАСС. Функцию предлагают встроить в приложения «Госуслуги» и «МВД России», а также связать с цифровым контуром «Системы-112».

Письмо с предложением направили главе МВД Владимиру Колокольцеву. Работать это может как тревожный режим в смартфоне.

Пользователь заранее или прямо в опасной ситуации включает сервис, указывает конечную точку и примерное время прибытия. Либо выбирает готовый сценарий: «иду домой», «еду в такси», «нахожусь в опасной ситуации», «нужна помощь».

После активации система временно фиксирует маршрут и геолокацию. Если человек нажмёт тревожную кнопку, не подтвердит завершение маршрута или сработает другой заданный сценарий, данные передадут оператору «Системы-112» или в дежурную часть полиции.

Авторы инициативы считают, что сервис поможет быстрее определить местонахождение человека в экстренной ситуации и сократить время реакции полиции. А заодно использовать уже существующую цифровую инфраструктуру госприложений не только для справок и заявлений, но и для реальной помощи в момент, когда пользователю уже не до бюрократии.

По сути, депутаты предлагают превратить смартфон в тревожный маячок: включил маршрут, и в случае ЧП экстренные службы не начинают гадать, где тебя искать, а получают координаты.

RSS: Новости на портале Anti-Malware.ru