- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Истории про бреши в системе безопасности крупных интернет-компаний всегда резонансные. Вполне логично, что после скандальных сообщений об утечке данных компании бегом лепят багфиксы, прикрывают дыры и рапортуют об устранении ЧП. Это вопрос репутации.
Хотелось бы думать, что всякий раз подобные «дырки» являются неприятным сюрпризом для компании, на устранение которых необходимо быстро реагировать. Однако, на практике получается не так.
Нами была обнаружена критическая XSS (англ. Сross Site Sсriрting — «межсайтовый скриптинг») уязвимость на странице API. Яндекс. Ошибка допущена в примере вывода Rich Content API из-за слабой проработанности в безопасности при выводе информации о странице.
Все это чревато тем, что злоумышленник может накапливать куки пользователей, и впоследствии получать доступ к их аккаунтам.
Пример страницы:
Мы, будучи честными гражданами, сообщили о проблеме в раздел «Охота за ошибками» и надеялись получить выплату за ошибку в размере 5-10 т.р. Такие деньги гарантировано обещаются участникам конкурса "Охота за ошибками" за найденную XSS. Деньги смешные, но зато можно отметиться в зале славы.
Ответ компании нас, честного говоря, удивил. Оказывается, о данной уязвимости компании известно. Сколько времени аутентификационные данные пользователей светятся наружу, оценить сложно. Но сам факт того, что эта уязвимость признана, но компания не спешит решать проблему, удивляет.
Этим сообщением мы хотели бы обратить внимание пользователей Яндекса и самой компании на проблему. Мы рекомендуем до момента решения проблемы разлогиниться в сервисах Яндекса и не использовать их до официального уведомления об устранении критической уязвимости.
когда появятся иски к яндексу от пострадавших пользователей, тогда и закроют дыру =)
Именно поэтому, мы еще вчера ушли к гуглу)
может это чьято кормушка..
СБ должна же когонить отлавливать
ну вот, спалили, и как теперь тырить с яндекс денег бабло если закроют? )))
Именно поэтому, мы еще вчера ушли к гуглу)
А мы нисколечко не против ;)
Мы, будучи честными гражданами, сообщили о проблеме в раздел «Охота за ошибками» и надеялись получить выплату за ошибку в размере 5-10 т.р.
SocFishing, забей.
Та же фигня была с DrWeb - у меня лицензионный, обновляется как положено. Пролез вирус, был отловлен руками.
Руками обновила антивирусные базы - всё-равно не ловит его DrWeb. Проверила на virustotal.com - тамошняя версия ДрВеб тоже не ловит.
Прислала его в DrWeb со ссылкой на virustotal и что на текущий момент лицензионный DrWeb его не ловит.
Ответ - этот вирус нам известен, обновите свои антивирусные базы. Даже спасибо не сказали, что человек потратил своё время, чтобы улучшить их продукт.
В следующий раз время своё тратить не стану, проще антивирус сменить, если перестанет устраивать.
Дело в тому, что уязвимость закрыть - 30 мин. Она уже 3 дня как известна нам и известна по ответу яндекса еще кому-то. Сейчас она известна > 300 людям, но по прежнему она не закрыта.
Если прямая угроза кражи личной информации из сервисов яндекса. Нужно всего лишь составить определенную ссылку с обработчиком и направить её по целевым контактам. Как пример по контактам, которые используют почту яндекс для регистраций доменов и тд.
Пример ссылки: http://api.yandex.ru/rca/?url=http://domain.ru где в index:
Придут куки, все это подставляется в браузер и готово, восстанавливаем домены на себя. Метод стар как мир, но все же актуален и по сей день.
Ps: самое интересное, у гугла мы знаем несколько XSS средней значимости, которым несколько лет. Так что XSS на данный момент самый распространенный и дешевый метод кражи. перс. информации.
Дело в тому, что уязвимость закрыть - 30 мин. Она уже 3 дня как известна нам и известна по ответу яндекса еще кому-то. Сейчас она известна > 300 людям, но по прежнему она не закрыта.
Если прямая угроза кражи личной информации из сервисов яндекса. Нужно всего лишь составить определенную ссылку с обработчиком и направить её по целевым контактам. Как пример по контактам, которые используют почту яндекс для регистраций доменов и тд.
Пример ссылки: http://api.yandex.ru/rca/?url=http://domain.ru где в index:
Придут куки, все это подставляется в браузер и готово, восстанавливаем домены на себя. Метод стар как мир, но все же актуален и по сей день.
Ps: самое интересное, у гугла мы знаем несколько XSS средней значимости, которым несколько лет. Так что XSS на данный момент самый распространенный и дешевый метод кражи. перс. информации.
А можно подробнее, что куда вставлять:)
А можно подробнее, что куда вставлять:)
Нет, нам проблемы не нужны. Вы можете разобраться сами, в этом нет ничего сложного ;)
А нафиг топик-то создан?
Пока о проблеме знали 5 человек поименно, это была проблема безопасности, которую официально фиксят.
Теперь о ней узнали тыща кулхацкеров и НЕ узнали почти все остальные юзеры Яндекса.
Этим сообщением мы хотели бы обратить внимание пользователей Яндекса и самой компании на проблему. Мы рекомендуем до момента решения проблемы разлогиниться в сервисах Яндекса и не использовать их до официального уведомления об устранении критической уязвимости.
Теперь отзвонитесь, пожалуйста, всем "пользователям Яндекса" и уведомите каждого персонально.