Насколько надёжно BestPersons хранит данные? [обновлено]
В январе в «Интернетных штучках» был опубликован обзор российского сервиса BestPersons. По замыслу создателей, сайт должен решить «задачу объединения популярных социальных сетей и предоставления людям полезных web 2.0 сервисов». На практике оказалось, что данные пользователей плохо защищены.
Сегодня участник сообщества «Хабрахабр» Роман Сербин опубликовал небольшое исследование безопасности BestPersons. Выяснилось, что сайт содержит несколько уязвимостей XSS, а система восстановления пароля отправляет его по электронной почте в незашифрованном виде.
Всё это, по мнению Романа Сербина, позволяет злоумышленнику получить доступ не только к пользовательским аккаунтам на BestPersons, но при наличии определенных условий и к другим сервисам (BestPersons требует указывать пароли для того, чтобы пользователь мог публиковать записи во все свои блоги из единого интерфейса).
На сайте BestPersons появилось сообщение о хакерской атаке, в результате которой, по словам разработчиков, личные данные пользователей не пострадали. Сейчас производится «плановая смена паролей пользователей, подвергшихся атаке».
В комментариях на «Хабрахабре» идёт активное обсуждение, кого затронула проблема, а кого нет. Представитель BestPersons Дмитрий Антонов сообщил, что юристы компании уже «рассматривают данный инцидент».
Случай с BestPersons не уникальный, сообщения об уязимостях в популярных сервисах появляются всё чаще. В данном случае проблема заключается в том, что BP «не просто сервис», а фактически хранитель паролей к другим сайтам. Поэтому вопрос безопасности должен быть основным.
Ирония состоит в том, что разработчики BestPersons ранее сами находили XSS-уязвимости в зарубежных сервисах.
ОБНОВЛЕНО: Комментарий предствителя bestpersons.ru
Да, на сайте была XSS уязвимость.
Но ажиотаж вокруг атаки на сайт сильно преувеличен.
Атаке была подвержена совсем небольшая часть аккаунтов и она была быстро пресечена.
Не произошло утечки ни единого пароля на сторонние ресурсы, которые пользователи указывали на bp.
Так как, даже зная пароль пользователя на bp, нельзя получить пароли от его сайтов.Мы приносим свои извинения пользователям, которых затронул данный инцидент.
Владимир Яшников. 23 года, живет в Тамбове. О веб-сервисах и социальных сетях пишет для «ИШ», а о продуктивности и эффективной работе с компьютером — для Lifehacker.ru.
Комментарии к «Насколько надёжно BestPersons хранит данные? [обновлено]» (6)
[…] Источник okbm(”http://mydiary.net.ru/2008/07/21/naskolko-nadyozhno-bestpersons-xranit-dannye/”,”Насколько надёжно BestPersons хранит данные?”) […]
За что боролись, за то и напоролись.
Комментарий предствителя bestpersons.ru:
Да, на сайте была XSS уязвимость.
Но ажиотаж вокруг атаки на сайт сильно преувеличен.
Атаке была подвержена совсем небольшая часть аккаунтов и она была быстро пресечена.
Не произошло утечки ни единого пароля на сторонние ресурсы, которые пользователи указывали на bp.
Так как, даже зная пароль пользователя на bp, нельзя получить пароли от его сайтов.
Мы приносим свои извинения пользователям, которых затронул данный инцидент.
Комментарий romanser:
Из комментария представителя bestpersons складывается впечатление, что пользовательские данные в безопасности. Но это не так. Пароли, которые в незашифрованном виде можно было легко получить с сайта, подходят ко многим сервисам, где их владельцы зарегистрированы. Часто даже к emailу.
И то, что в своем “комментарии” владельцы сервиса даже не уведомили пользователей, что их пароли могут быть использованы третьими лицами, не имеет оправдания.
Собственно, ночной взлом bestpersons (уже после того, как “атака была быстро пресечена”, доказывает, что все не так просто.
[…] Всё, что вам нужно, это ввести логин и пароль для каждого сервиса. Памятуя о недоразумении с отечественным «Best Persons», особое внимание теперь стоит уделять сохранности паролей при передачи их третьим сервиса. atomkeep уверяет, что пароли они не хранят совершенно по соображениям безопасности и вам их при каждой синхронизации придётся вводить вручную. […]
[…] Всё, что вам нужно, это ввести логин и пароль для каждого сервиса. Памятуя о недоразумении с отечественным «Best Persons», особое внимание теперь стоит уделять сохранности паролей при передачи их третьим сервиса. atomkeep уверяет, что пароли они не хранят совершенно по соображениям безопасности и вам их при каждой синхронизации придётся вводить вручную. […]
Напишите свой комментарий