Хакеры нашли простой способ взлома учётных записей
Хакеры нашли простой способ взлома учётных записей. Фото: Pixabay
Исследователи кибербезопасности из Microsoft Security Response Center вместе с независимым исследователем Авинашем Судходананом нашли неожиданный способ взлома онлайн-аккаунтов.
Есть несколько методов для успешного проведения атаки, но вот суть — с точки зрения непрофессионала: если злоумышленник знает адрес электронной почты жертвы и знает, что у них нет учетной записи, зарегистрированной в службе, они могут создать учетные записи для них - используя их адрес электронной почты (и надеясь, что жертва отклонит уведомление по электронной почте как спам).
Для сервисов, требующих подтверждения пользователя по электронной почте, есть одна загвоздка — злоумышленники могут создать учетную запись с другим адресом электронной почты, а затем переключиться на адрес жертвы позже.
Вот где появляются функции сервиса — некоторые позволяют объединять учетные записи. Если служба видит, что жертва пытается зарегистрировать учетную запись с уже зарегистрированным адресом электронной почты, она может предложить функцию единого входа, даже не запрашивая у жертвы пароль .(откроется в новой вкладке). Жертва входит в систему, злоумышленник остается в системе. Пароли никогда не меняются.
В некоторых случаях злоумышленник также может создать автоматический сценарий, чтобы поддерживать активность сеанса столько времени, сколько необходимо.
В то время как исследователи уже поделились своими выводами с некоторыми из крупнейших сайтов, большинство из которых уже закрыли дыру, исследователи предупреждают, что у многих других, вероятно, есть эта лазейка, и исправят ли они ее в ближайшее время или нет, это очень большой вопрос.
Как обычно, пользователям рекомендуется настроить ключи безопасности и другие формы многофакторной аутентификации, где это возможно.
Startpack подготовил инструментарий для защиты персональных данных и корпоративного коммерческого конфидента. Список включает в себя менеджеры, позволяющие хранить и управлять паролями от всевозможных сервисов, защищённые почтовые службы, шифрующие отправления, службы мониторинга безопасности сайтов, которые помогают вовремя отследить и предотвратить недружественные или зловредные действия. Отдельная категория инструментов — прокси и виртуальные защищённые комнаты для работы с документами.
Статьи по теме
Комментариев пока не было