Seznam umožňoval únos sezení KE STAŽENÍEmail Seznam trpěl závažnou bezpečnostní chybou. Skrz krádež cookies se dalo unést uživatelské sezení a získat tak přístup do mailu oběti. Vše odhalil Marek Tóth, který se věnuje odhalování zranitelností informačních systémů profesionálně coby penetrační tester firmy Avast.
Marek Tóth, etický hacker a penetrační tester Avastu, si zranitelnosti všiml při analýze komunikace mezi webovými aplikacemi provozovanými Seznamem. Její zákeřnost spočívala v jednoduchosti útočného vektoru:
Tóth rovnou varuje uživatele domněle vyspělé, že nemusí jít vždy o klikání na URL typu https://klikni-a-vyhraj.cz: Ale k chybě samé. Při přechodu mezi službami Seznamu se přenášela přihlašovací cookies. V řetězci jejich validace ovšem byly díry, které vedly k tomu, že stejnou cestou ukrást přihlašovací cookies uživatele, a tak se dostat do seance jeho přihlášení k emailu. Tóth zjištěnou díru využil v rámci etického hackerství k napsání k útočnému exploitu. Útok probíhal následovně:
Další možné způsoby útokuPoužitý exploit byl vysoce sofistikovaný. Tóth přiznává, že stejnou zranitelnost by šlo zneužít i jinými a snazšími cestami:
Všemi způsoby útoku se dalo ukrást sezení nejen pro email Seznamu, ale i pro další uživatelské služby - jmenovitě: Seznam Email, Email Profi, Lide.cz, Firmy.cz, Sreality.cz, Sbazar.cz. Naopak se krádež cookie nedala použít pro profesionální služby, které vyžadují přihlášení ke Klientské zóně, jako jsou Sklik a Seznam Peněženka. Doporučení pro uživateleBezpečnostní doporučení pro zamezení škodám plynoucím z potenciálního napadení jmenuje sám Tóth:
Jak rychle probíhá oprava zranitelnosti?Jak rychle reagoval Seznam na bezpečnostní incident, ilustruje Tóth:
Zákeřnost tohoto útoku je o to větší, že probíhá na úrovni síťové komunikace. Neochrání vás před ní antivirový program, silné heslo napadené služby, ani dvoufázové ověření. A netýká se jen Seznamu. Stejnými způsoby lze napadnout všechny komplexní webové služby - a v tomto případě zvláště ty, které nabízejí možnost tzv. jednotného přihlášení. Zdroje
Daniel Beránek, 01.12.2020 12:07 Tento program naleznete ke stažení v našem katalogu www.instaluj.cz Spotify rozšiřuje hranice personalizované hudby zaváděním AI playlistů, což je beta funkce umožňující Premium uživatelům ve Spojeném království a Austrálii transformovat jakýkoliv nápad na perfektně na míru šitý playlist. Díky... Microsoft a OpenAI chystají postavit datacentrum se superpočítačem za 100 miliard dolarů. Ambiciózní projekt, známý jako Stargate, slibuje posunout hranice toho, co je možné v datovém zpracování a umělé inteligenci. S plánovaným spuštěním... Svět technologií je opět v pohybu, přičemž gigant Google vážně uvažuje o zásadním kroku - zpoplatnění pokročilých funkcí vyhledávání, které využívají umělou inteligenci (AI). Takovýto krok by mohl změnit základy toho, jak... Opera se snaží co nejvíce využít vlnu AI. Nabízí nejen vlastní AI asistentku Ariu, ale jejím prostřednictvím i spoustu dalších funkcí. Nyní přichází s podporou lokálně spustitelných velkých jazykových modelů, což... |