• Обратная связь: [email protected]

    Наш канал в telegram: https://t.me/ru_sfera

    Группа VK: https://vk.com/rusfera

    Пользователи могут писать на форуме ТОЛЬКО ЧЕРЕЗ 7 ДНЕЙ после регистрации

Информация Проверь пароль от своего почтовго ящика и введи его сюда :)


X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 194
Репутация
8 325
password-1200x673.jpg


Доносить до пользователей азы сетевой безопасности, это достойное и хорошее занятие. Однако учить безопасности других, когда сам не очень хорошо в ней разбираешься, определенно не стоит. Журналисты сайта CNBC загнали себя именно в такую ловушку, когда опубликовали на страницах своего ресурса форму, при помощи которой любой желающий мог проверить надежность своего пароля.

На самом деле, сайт CNBC вряд ли пытался научить пользователей чему-то полезному. Просто автору статьи, написанной по мотивам противостояния Apple и ФБР, пришла в голову мысль, что публикация привлечет больше читателей и соберет больше кликов, если добавить в текст «приманку»: форму, предлагающую любому пользователю проверить надежность своего пароля. По сути, автор CNBC призывал пользователей сделать то, чего нельзя делать вообще никогда: ввести свой пароль не на официальной странице логина, а в каком-то произвольном окошке. По всей видимости понимая, что так поступать нехорошо, автор снабдил форму комментарием мелким шрифтом: «данный инструмент предназначен исключительно для развлекательных и образовательных целей». Также сообщалось, что «пароли не сохраняются».

Конечно, этот странный эксперимент не мог не привлечь внимание специалистов по информационной безопасности. Проверкой пароля от CNBC заинтересовались сразу несколько экспертов. Разумеется, выяснилось, что о безопасности журналисты думали в последнюю очередь, а пароли посетителей не просто «сохраняются», но передаются третьим сторонам.

Исследователь Ашкан Солтани (Ashkan Soltani) воспользовался утилитой и выяснил, что все введенные пароли в незашифрованном виде (HTTP) передаются компаниями-партнерам CNBC: фирмам ScorecardResearch и SecurePubAds (они же DoubleClick).

CevMBL2WEAAWvOh.png large.png

Затем к делу подключился один из разработчиков проекта . Он обнаружил, что сайт сохраняет все пароли в Google Docs, сразу же, как только ничего не подозревающий пользователь нажимает кнопку «Добавить». Dmeh-Smeh-Smeh!!!Dmeh-Smeh-Smeh!!!Dmeh-Smeh-Smeh!!!

Ceu6cxSWsAAI_NO.jpg


cool coolcool coolcool cool

После этих сообщений возмущенное ИБ-сообщество начало апеллировать напрямую к (Nicholas Wells) – автору статьи, требуя немедленно убрать форму с сайта.

Очевидно, заметив, что намечается скандал, руководство CNBC решилось на отчаянный шаг и попыталось, образно выражаясь, засунуть зубную пасту обратно в тюбик. Никак не отвечая на возрастающую волну критики, с сайта по-тихому удалили всю статью вообще, а не только небезопасную форму, встроенную в текст. Из твиттера CNBC также пропало официальное сообщение о данной публикации, будто ее никогда не существовало. Более того, автор статьи спешно закрыл , сделав его приватным.

Не похоже, чтобы руководство CNBC собиралось приносить официальные извинения пользователям своего сайта. Между тем, аудитория ресурса велика: рекламной платформы Thalamus, на CNBC.com ежемесячно заходят более 6,6 млн уникальных посетителей. Сколько из них поддались на провокацию и ввели свои настоящие пароли в «форму проверки», неизвестно, но специалисты по безопасности настоятельно советуют всем пользователям поменять пароли.

Сетевое сообщество в последние дни называет сайт CNBC не иначе, как «лучшим сайтом для фишинга» и саркастично предполагает, что это был очень оригинальный способ создания словаря для атак.

смех-смех!!!смех-смех!!!смех-смех!!!

Оригинал статьи:
 
Последнее редактирование:
Верх Низ