Хакеры нашли простой способ взлома учётных записей

Благодаря нескольким непродуманным функциям киберпреступники могут взламывать онлайн-аккаунты на некоторых крупнейших интернет-платформах, даже не зная паролей. Все, что им нужно знать, по словам исследователей, расследующих этот вопрос, — это адрес электронной почты жертвы, и в наши дни это вряд ли проблема.

Хакеры нашли простой способ взлома учётных записей. Фото: Pixabay

Исследователи кибербезопасности из Microsoft Security Response Center вместе с независимым исследователем Авинашем Судходананом нашли неожиданный способ взлома онлайн-аккаунтов.

Есть несколько методов для успешного проведения атаки, но вот суть — с точки зрения непрофессионала: если злоумышленник знает адрес электронной почты жертвы и знает, что у них нет учетной записи, зарегистрированной в службе, они могут создать учетные записи для них - используя их адрес электронной почты (и надеясь, что жертва отклонит уведомление по электронной почте как спам).

Для сервисов, требующих подтверждения пользователя по электронной почте, есть одна загвоздка — злоумышленники могут создать учетную запись с другим адресом электронной почты, а затем переключиться на адрес жертвы позже.

Вот где появляются функции сервиса — некоторые позволяют объединять учетные записи. Если служба видит, что жертва пытается зарегистрировать учетную запись с уже зарегистрированным адресом электронной почты, она может предложить функцию единого входа, даже не запрашивая у жертвы пароль .(откроется в новой вкладке). Жертва входит в систему, злоумышленник остается в системе. Пароли никогда не меняются.

В некоторых случаях злоумышленник также может создать автоматический сценарий, чтобы поддерживать активность сеанса столько времени, сколько необходимо.

В то время как исследователи уже поделились своими выводами с некоторыми из крупнейших сайтов, большинство из которых уже закрыли дыру, исследователи предупреждают, что у многих других, вероятно, есть эта лазейка, и исправят ли они ее в ближайшее время или нет, это очень большой вопрос.

Как обычно, пользователям рекомендуется настроить ключи безопасности и другие формы многофакторной аутентификации, где это возможно.

Startpack подготовил инструментарий для защиты персональных данных и корпоративного коммерческого конфидента. Список включает в себя менеджеры, позволяющие хранить и управлять паролями от всевозможных сервисов, защищённые почтовые службы, шифрующие отправления, службы мониторинга безопасности сайтов, которые помогают вовремя отследить и предотвратить недружественные или зловредные действия. Отдельная категория инструментов — прокси и виртуальные защищённые комнаты для работы с документами.

Статьи по теме