
Seznam umožňoval únos sezení KE STAŽENÍEmail Seznam trpěl závažnou bezpečnostní chybou. Skrz krádež cookies se dalo unést uživatelské sezení a získat tak přístup do mailu oběti. Vše odhalil Marek Tóth, který se věnuje odhalování zranitelností informačních systémů profesionálně coby penetrační tester firmy Avast.
Marek Tóth, etický hacker a penetrační tester Avastu, si zranitelnosti všiml při analýze komunikace mezi webovými aplikacemi provozovanými Seznamem. Její zákeřnost spočívala v jednoduchosti útočného vektoru:
Tóth rovnou varuje uživatele domněle vyspělé, že nemusí jít vždy o klikání na URL typu https://klikni-a-vyhraj.cz: Ale k chybě samé. Při přechodu mezi službami Seznamu se přenášela přihlašovací cookies. V řetězci jejich validace ovšem byly díry, které vedly k tomu, že stejnou cestou ukrást přihlašovací cookies uživatele, a tak se dostat do seance jeho přihlášení k emailu. Tóth zjištěnou díru využil v rámci etického hackerství k napsání k útočnému exploitu. Útok probíhal následovně:
Další možné způsoby útokuPoužitý exploit byl vysoce sofistikovaný. Tóth přiznává, že stejnou zranitelnost by šlo zneužít i jinými a snazšími cestami:
Všemi způsoby útoku se dalo ukrást sezení nejen pro email Seznamu, ale i pro další uživatelské služby - jmenovitě: Seznam Email, Email Profi, Lide.cz, Firmy.cz, Sreality.cz, Sbazar.cz. Naopak se krádež cookie nedala použít pro profesionální služby, které vyžadují přihlášení ke Klientské zóně, jako jsou Sklik a Seznam Peněženka. Doporučení pro uživateleBezpečnostní doporučení pro zamezení škodám plynoucím z potenciálního napadení jmenuje sám Tóth:
Jak rychle probíhá oprava zranitelnosti?Jak rychle reagoval Seznam na bezpečnostní incident, ilustruje Tóth:
Zákeřnost tohoto útoku je o to větší, že probíhá na úrovni síťové komunikace. Neochrání vás před ní antivirový program, silné heslo napadené služby, ani dvoufázové ověření. A netýká se jen Seznamu. Stejnými způsoby lze napadnout všechny komplexní webové služby - a v tomto případě zvláště ty, které nabízejí možnost tzv. jednotného přihlášení. Zdroje
Daniel Beránek, 01.12.2020 12:07 Tento program naleznete ke stažení v našem katalogu www.instaluj.cz Vývojáři Google Chrome se rozhodli některé z experimentálních funkcí prohlížeče otestovat na širším vzorku pokusných uživatelů. Nabídnou uživatelský přístup přímo přes rozhraní browseru k těm experimentům, pro které je téměř... Internetový uzel NIX.CZ byl zařazen mezi subjekty kritické informační infrastruktury České republiky. Rozhodl o tom Národní úřad pro kybernetickou a informační bezpečnost, v jehož kompetenci jsou prvky spadající do oblasti informačních technologií. NIX.CZ... Společnost LMC vlastnící mj. jiné největší české HR projekty Jobs.cz a Práce.cz akvíruje platformu Techloop.io, která se specializuje na párování IT odborníků a firem. Získává tak černého koně ve vysokorozpočtové oblasti... Firewally a brány značky Zyxel jsou přístupné kyberútokům přes zadní vrátka. Kupodivu je neotevírá žádný malware, který by je napadl, ale jsou tam přítomna přímo z výroby. Zyxel se nejen domníval, že je dobrým nápadem v těchto... |
|