Seznam umožňoval únos sezení KE STAŽENÍEmail Seznam trpěl závažnou bezpečnostní chybou. Skrz krádež cookies se dalo unést uživatelské sezení a získat tak přístup do mailu oběti. Vše odhalil Marek Tóth, který se věnuje odhalování zranitelností informačních systémů profesionálně coby penetrační tester firmy Avast.
Marek Tóth, etický hacker a penetrační tester Avastu, si zranitelnosti všiml při analýze komunikace mezi webovými aplikacemi provozovanými Seznamem. Její zákeřnost spočívala v jednoduchosti útočného vektoru:
Tóth rovnou varuje uživatele domněle vyspělé, že nemusí jít vždy o klikání na URL typu https://klikni-a-vyhraj.cz: Ale k chybě samé. Při přechodu mezi službami Seznamu se přenášela přihlašovací cookies. V řetězci jejich validace ovšem byly díry, které vedly k tomu, že stejnou cestou ukrást přihlašovací cookies uživatele, a tak se dostat do seance jeho přihlášení k emailu. Tóth zjištěnou díru využil v rámci etického hackerství k napsání k útočnému exploitu. Útok probíhal následovně:
Další možné způsoby útokuPoužitý exploit byl vysoce sofistikovaný. Tóth přiznává, že stejnou zranitelnost by šlo zneužít i jinými a snazšími cestami:
Všemi způsoby útoku se dalo ukrást sezení nejen pro email Seznamu, ale i pro další uživatelské služby - jmenovitě: Seznam Email, Email Profi, Lide.cz, Firmy.cz, Sreality.cz, Sbazar.cz. Naopak se krádež cookie nedala použít pro profesionální služby, které vyžadují přihlášení ke Klientské zóně, jako jsou Sklik a Seznam Peněženka. Doporučení pro uživateleBezpečnostní doporučení pro zamezení škodám plynoucím z potenciálního napadení jmenuje sám Tóth:
Jak rychle probíhá oprava zranitelnosti?Jak rychle reagoval Seznam na bezpečnostní incident, ilustruje Tóth:
Zákeřnost tohoto útoku je o to větší, že probíhá na úrovni síťové komunikace. Neochrání vás před ní antivirový program, silné heslo napadené služby, ani dvoufázové ověření. A netýká se jen Seznamu. Stejnými způsoby lze napadnout všechny komplexní webové služby - a v tomto případě zvláště ty, které nabízejí možnost tzv. jednotného přihlášení. Zdroje
Daniel Beránek, 01.12.2020 12:07 Tento program naleznete ke stažení v našem katalogu www.instaluj.cz Aktualizace AI generátoru obrázků od Freepiku přináší revoluční zlepšení v rychlosti a fotorealističnosti, což umožní grafickým designérům, marketérům a grafikům tvorbu vizuálů s nepřekonatelnou přesností a detaily. Jaké možnosti... Spotify rozšiřuje hranice personalizované hudby zaváděním AI playlistů, což je beta funkce umožňující Premium uživatelům ve Spojeném království a Austrálii transformovat jakýkoliv nápad na perfektně na míru šitý playlist. Díky... Microsoft a OpenAI chystají postavit datacentrum se superpočítačem za 100 miliard dolarů. Ambiciózní projekt, známý jako Stargate, slibuje posunout hranice toho, co je možné v datovém zpracování a umělé inteligenci. S plánovaným spuštěním... Svět technologií je opět v pohybu, přičemž gigant Google vážně uvažuje o zásadním kroku - zpoplatnění pokročilých funkcí vyhledávání, které využívají umělou inteligenci (AI). Takovýto krok by mohl změnit základy toho, jak... |