
Seznam umožňoval únos sezení KE STAŽENÍEmail Seznam trpěl závažnou bezpečnostní chybou. Skrz krádež cookies se dalo unést uživatelské sezení a získat tak přístup do mailu oběti. Vše odhalil Marek Tóth, který se věnuje odhalování zranitelností informačních systémů profesionálně coby penetrační tester firmy Avast.
Marek Tóth, etický hacker a penetrační tester Avastu, si zranitelnosti všiml při analýze komunikace mezi webovými aplikacemi provozovanými Seznamem. Její zákeřnost spočívala v jednoduchosti útočného vektoru:
Tóth rovnou varuje uživatele domněle vyspělé, že nemusí jít vždy o klikání na URL typu https://klikni-a-vyhraj.cz: Ale k chybě samé. Při přechodu mezi službami Seznamu se přenášela přihlašovací cookies. V řetězci jejich validace ovšem byly díry, které vedly k tomu, že stejnou cestou ukrást přihlašovací cookies uživatele, a tak se dostat do seance jeho přihlášení k emailu. Tóth zjištěnou díru využil v rámci etického hackerství k napsání k útočnému exploitu. Útok probíhal následovně:
Další možné způsoby útokuPoužitý exploit byl vysoce sofistikovaný. Tóth přiznává, že stejnou zranitelnost by šlo zneužít i jinými a snazšími cestami:
Všemi způsoby útoku se dalo ukrást sezení nejen pro email Seznamu, ale i pro další uživatelské služby - jmenovitě: Seznam Email, Email Profi, Lide.cz, Firmy.cz, Sreality.cz, Sbazar.cz. Naopak se krádež cookie nedala použít pro profesionální služby, které vyžadují přihlášení ke Klientské zóně, jako jsou Sklik a Seznam Peněženka. Doporučení pro uživateleBezpečnostní doporučení pro zamezení škodám plynoucím z potenciálního napadení jmenuje sám Tóth:
Jak rychle probíhá oprava zranitelnosti?Jak rychle reagoval Seznam na bezpečnostní incident, ilustruje Tóth:
Zákeřnost tohoto útoku je o to větší, že probíhá na úrovni síťové komunikace. Neochrání vás před ní antivirový program, silné heslo napadené služby, ani dvoufázové ověření. A netýká se jen Seznamu. Stejnými způsoby lze napadnout všechny komplexní webové služby - a v tomto případě zvláště ty, které nabízejí možnost tzv. jednotného přihlášení. Zdroje
Daniel Beránek, 01.12.2020 12:07 Tento program naleznete ke stažení v našem katalogu www.instaluj.cz Za volantem náklaďáku ještě stále musí sedět živý chlap (nebo dáma), stále víc jím ale točí umělá inteligence. V podmínkách ropného šoku a trvalé dopravní kalamity přestává na... Úřad pro ochranu osobních údajů (ÚOOÚ) vyzývá klienty Shoptetu, aby prověřili, zda nedošlo k narušení zabezpečení osobních údajů. Podezřelými jsou v tomto případě analytické aplikace firmy MonkeyData, které měly... Vývojáře Microsoft Edge zkouší nové ulehčení práce s prohlížečem. Spočívá v prostém dvojkliku na oušku panelu pro jeho zavření. Funkcionalitka je zatím v testování - a to tak raném, že není ani... Apple aktuálně stáhl aplikaci Ulož.to z App Storu. Učinil tak z důvodů nahlášení firmou, která deklaruje, že se zabývá dodržování autorských práv na internetu. Stejná situace se odehrála v března, kdy stejný stěžovatel nahlásil... |