Недавно ко мне обратился мой хороший знакомый с проблемой — его начали шантажировать в социальной сети. Обещали что сольют всю его приватную переписку, включая фото с одного из сайтов знакомств. При этом там человек смог соблюсти базовую анонимность — никаких контактов там он не указывал, давал адрес личной страницы, когда был точно уверен в реальности человека. К сожалению, его это не спасло от вымогательства на 15,000Р и разведения рук в УВД города Москвы. Разберемся как это произошло и попробуем провести похожий тип атаки.
Читать полностью »
Метка «уязвимости»
Социальный шантаж в 2016
2016-11-02 в 18:48, admin, рубрики: информационная безопасность, Социальные сети и сообщества, метки: безопасность в сети, Вконтакте, вымогательство, социальные сети, уязвимостиЭти чертовы инкрементальные айдишники
2014-07-01 в 9:22, admin, рубрики: безопасность, информационная безопасность, персональные данные, уязвимости, метки: безопасность, персональные данные, уязвимостиКак программисту, принимавшему участие в разработке платежных систем, мне неоднократно приходилось анализировать на наличие уязвимостей различные платежные сервисы, хранящие персональные данные клиентов и я постоянно сталкиваюсь с одной очень распространенной проблемой. Имя этой проблеме — инкрементальные айдишники.
Пример №1.
Сайт крупнейшего агрегатора платежных методов в России, обслуживает лидера онлайн-игр. После оплаты заказа переадресовывает клиента на урл вида http://aggregator-domain/ok.php?payment_id=123456, который в свою очередь переадресовывает на сайт онлайн-игры с адресом вида (декодировал для читабельности) https://online-game-domain/shop/?...amount=32.86...¤cy=RUB...&user=user_email@gmail.com...&item_name=1 день премиум аккаунта...
Перебирая значения параметра payment_id, мы можем видеть логины юзеров в онлайн-игре, покупки, которые они совершали, их сумму.
Читать полностью »
XSS-game от Google
2014-05-31 в 12:45, admin, рубрики: Google, xss, браузеры, игра, информационная безопасность, уязвимости, метки: Google, xss, игра, уязвимостиGoogle представил игру, заключающуюся в поиске xss-уязвимостей, c целью распространения информации об этом наиболее опасном и распространенном типе уязвимости. Google очень серьезно относится к обнаружению уязвимостей, что платит до $7500 за серьезные xss.
Месяц поиска уязвимостей: как мы к нему готовились и как его пережили
2014-05-22 в 12:00, admin, рубрики: mail.ru, Блог компании Mail.Ru Group, информационная безопасность, уязвимости, метки: mail.ru, уязвимости 
21 апреля совместно с Hacker One мы запустили программу поиска уязвимостей. 20 мая завершился конкурс, ставший первым шагом этой программы. Сегодня мы хотим рассказать, как мы укрепляли нашу оборону, готовясь к конкурсу, как исследователи искали в ней бреши и что они помогли нам найти.
Читать полностью »
Как мы ломали docshell.ru
2014-04-18 в 6:50, admin, рубрики: bug bounty, Блог компании BugHunt, информационная безопасность, уязвимости, метки: bug bounty, pentest, уязвимостиПривет!
BugHunt – это сервис публикации программ вознаграждения за найденные уязвимости. Мы помогаем различным организациям запустить собственные bug bounty программы и берём на себя всю рутину: разрабатываем условия программы, привлекаем к участию исследователей, обрабатываем отчёты и даём рекомендации по устранению дыр.
Получается почти как пентест, но дешевле, лучше, и платишь тут не за красивый отчёт, а за реальные дыры.
Читать полностью »
Чем грозит Heartbleed простому пользователю?
2014-04-12 в 19:04, admin, рубрики: Heartbleed, openssl, анб, банковские карты, безопасность, информационная безопасность, паранойя, платежный шлюз, уязвимости, шапочка из фольги, метки: Heartbleed, openssl, анб, банковские карты, безопасность, паранойя, платежный шлюз, уязвимости, шапочка из фольги 
Многие уже слышали про найденную в OpenSSL уязвимость. Можно с уверенностью сказать, что по освещенности в интернет-СМИ она займет почетное первое место. Про нее не только пишут, но и создают специальные сайты, проверяющие сервисы и даже рисуют комиксы. И не удивительно — масштаб поражения действительно впечатляет, по некоторым оценкам более 17% всех сайтов с поддержкой ssl уязвимы, учитывая простоту эксплуатации это событие можно сравнить с эпидемией. К сожалению, даже это для многих не является достаточным аргументом — спустя неделю многие сайты продолжают оставаться под угрозой. Это может быть не критично для простых сервисов, но не для финансовых. Особенно болезненно это может сказаться на платежных шлюзах, через которые осуществляются платежи. Об одном из таких я и расскажу.Читать полностью »
Авторизация в Интернетах
2014-03-27 в 5:59, admin, рубрики: ит-инфраструктура, Сетевые технологии, Социальные сети и сообщества, учетные записи, уязвимости, метки: учетные записи, уязвимостиЗаметка демонстрирует хромую ногу интернета. Я в ней рассматриваю несколько моментов, которыми многие люди неосознанно пренебрегают, в чём не отдают себе отчёт. Вследствие ряда таких допущений страдают и те, кто их совершает, и остальные – а с опытом я замечаю, что в этой глупости участвуют все.
Я попробую на примерах показать несколько примитивных вещей, которые не все замечают, и поэтому постоянно строят мосты через рвы, старательно вырытые для охраны личных ценностей.
Какая должна быть авторизация?
Читать полностью »
Реакция разных компаний на уязвимости их ресурсов
2014-02-19 в 16:39, admin, рубрики: информационная безопасность, уязвимости, метки: уязвимости В данном посте я решил немного рассказать о своих исследованиях в области IT безопасности.
Некоторые компании не будут названы в статье, чтобы не портить «имидж».
Ресурсы в которых были найдены уязвимости: aa.mail.ru, nag.ru, graph.document.kremlin.ru, sencha.com, parallels.com, volgogsm.ru, next-one.ru, а также туроператор X, и одна из дочерних организаций Газпрома.
Достаточно давно уже увлекаюсь проведением исследований безопасности разных ресурсов. Большинство из них мне приходилось использовать самому и было интересно узнать в сохранности ли мои данные.
Читать полностью »
1% всех сайтов рунета держит свой memcached открытым для мира. Немного статистики
2014-02-11 в 17:31, admin, рубрики: memcached, nosql, безопасность веб-приложений, веб-аналитика, информационная безопасность, уязвимости, метки: memcached, безопасность веб-приложений, уязвимости — How do I authenticate?
— You don't!
это цитата из FAQ memcached.
Да, в memcached по умолчанию не предусмотрено системы аутентификации, и администратор сам должен сделать маленький шажок, чтобы закрыть свой сервер от свободного доступа. Например, запустить его на 127.0.0.1, или воспользоваться фаерволом. Сколько же сайтов рунета это сделали?
Читать полностью »
Программа по поиску уязвимостей. Проверь Badoo на прочность!
2014-02-05 в 12:12, admin, рубрики: badoo, баду, безопасность, Блог компании Badoo, информационная безопасность, конкурс, уязвимости, метки: badoo, баду, безопасность, информационная безопасность, конкурс, уязвимости 
В 2013 году мы проводили конкурс Месяц поиска уязвимостей «Проверь Badoo на прочность!» и остались довольны результатами. Поэтому мы решили перевести разовый конкурс в регулярную программу.
И сегодня, 5 февраля, мы анонсируем старт Программы по поиску уязвимостей.
Основные изменения:
- Проверять на прочность можно и веб-версию и мобильные приложения.
- Мы убираем ограничения по времени – теперь найденные уязвимости можно присылать когда угодно.
Где искать уязвимости:
- badoo.com, eu1.badoo.com, us1.badoo.com, corp.badoo.com
- WAP-версия: m.badoo.com
- Мобильные приложения: App Store, Google Play, Windows Phone Store, BlackBerry World