Новини: дірявий Facebook, взлом rubygems.org та Bitcoin партнерка

22:46 20.07.2013

За повідомленням www.xakep.ru, як заробити $20 тис. за один день на простому базі Facebook.

Протягом декількох років ви могли змінити пароль будь-якому іншому користувачу Facebook, просто змінивши елемент profile_id у формі fbMobileConfirmationForm при аутентифікації з мобільного телефону.

Фахівець з безпеки Джек Уітттен пояснив суть уразливості, що пов’язана з неправильною обробкою параметрів скриптом для підтвердження номера телефону, що прив’язується до аккаунту.

Те, що Facebook дірявий, я писав неодноразово. Сам знаходив багато уразливостей на сайтах цієї соцмережі. А деякі люди навіть заробляють на дірках в Facebook (як от $20000 за цю дірку). Враховуючи, що на Facebook увесь час знаходять різні уразливості і ця дірка існувала на сайті багато років, все це говорить, що власники соцмережі не проводять аудити безпеки (чекаючи, що їм на блюдці принесуть дірки в їхній соціальній мережі).

За повідомленням www.opennet.ru, rubygems.org піддався взлому.

Rubygems.org, популярний репозиторій модулів для додатків на Ruby, був скомпрометований невідомими зловмисниками, що одержали доступ до сервера шляхом експлуатації уразливості в YAML-парсері фреймворка Ruby on Rails, у якому в січні було виправлено кілька критичних проблем безпеки.

Виявлено, що в процесі атаки була задіяна проблема безпеки в парсері Psych YAML, але уразливість була експлуатована не через HTTP, а через інтерфейс обробки метаданих Rubygems.

Торік я писав про взломи репозиторіїв Linux та FreeBSD, а цього року я писав про бекдор у віджеті соціальних мереж для WordPress, що був вставлений в код після компрометації акаунта розробника віджету. А це ще один приклад атаки на репозиторії, для включення бекдорів у вихідний код.

За повідомленням www.xakep.ru, Брайан Кребс розсекретив партнерську програму FeodalCash.

Журналіст і блогер, що спеціалізується на інформаційній безпеці, Брайан Кребс провів нове журналістське розслідування. Цього разу у фокусі його уваги виявилося російськомовне співтовариство FeodalCash, члени якого одержують партнерську винагороду за встановлення шкідливих програм на комп’ютери користувачів. Зокрема трояна Win32/Tarcloin, що здійснює майнінг біткоінів на комп’ютері жертви.

Я вже писав про випадки нелегального майнінга біткоінів. А це ціла партнерка для розповсюдження троянів для генерації Bitcoin.


Leave a Reply

You must be logged in to post a comment.