Насколько надёжно BestPersons хранит данные? [обновлено]

В январе в «Интернетных штучках» был опубликован обзор российского сервиса BestPersons. По замыслу создателей, сайт должен решить «задачу объединения популярных социальных сетей и предоставления людям полезных web 2.0 сервисов». На практике оказалось, что данные пользователей плохо защищены.
Оцените:


Сегодня участник сообщества «Хабрахабр» Роман Сербин опубликовал небольшое исследование безопасности BestPersons. Выяснилось, что сайт содержит несколько уязвимостей XSS, а система восстановления пароля отправляет его по электронной почте в незашифрованном виде.

Всё это, по мнению Романа Сербина, позволяет злоумышленнику получить доступ не только к пользовательским аккаунтам на BestPersons, но при наличии определенных условий и к другим сервисам (BestPersons требует указывать пароли для того, чтобы пользователь мог публиковать записи во все свои блоги из единого интерфейса).

На сайте BestPersons появилось сообщение о хакерской атаке, в результате которой, по словам разработчиков, личные данные пользователей не пострадали. Сейчас производится «плановая смена паролей пользователей, подвергшихся атаке».

В комментариях на «Хабрахабре» идёт активное обсуждение, кого затронула проблема, а кого нет. Представитель BestPersons Дмитрий Антонов сообщил, что юристы компании уже «рассматривают данный инцидент».

Случай с BestPersons не уникальный, сообщения об уязимостях в популярных сервисах появляются всё чаще. В данном случае проблема заключается в том, что BP «не просто сервис», а фактически хранитель паролей к другим сайтам. Поэтому вопрос безопасности должен быть основным.

Ирония состоит в том, что разработчики BestPersons ранее сами находили XSS-уязвимости в зарубежных сервисах.

ОБНОВЛЕНО: Комментарий предствителя bestpersons.ru



Да, на сайте была XSS уязвимость.
Но ажиотаж вокруг атаки на сайт сильно преувеличен.
Атаке была подвержена совсем небольшая часть аккаунтов и она была быстро пресечена.
Не произошло утечки ни единого пароля на сторонние ресурсы, которые пользователи указывали на bp.
Так как, даже зная пароль пользователя на bp, нельзя получить пароли от его сайтов.

Мы приносим свои извинения пользователям, которых затронул данный инцидент.


Оцените:

Комментарии Facebook

Комментарии ВКонтакте