html текст
All interests
  • All interests
  • Design
  • Food
  • Gadgets
  • Humor
  • News
  • Photo
  • Travel
  • Video
Click to see the next recommended page
Like it
Don't like
Add to Favorites

Rabota.ua заподозрили в хранении паролей пользователей незашифрованными. В компании это отрицают

12 апреля, 2018 16:30
1062 0

Популярный ресурс вакансий Rabota.ua уличили в том, что он возвращает пользователям их пароли по email в незашифрованном виде. Это говорит о том, что пароли могут храниться в базе данных сервиса в первозданном виде, что делает их легкой добычей для злоумышленников. Более того, через пароль к Rabota.ua хакеры могут получить доступ к аккаунтам пользователей в сторонних сервисах. Все это может привести к масштабной компрометации персональных данных огромного количества людей. В Rabota.ua отрицают наличие уязвимостей, однако обещают решить проблему с письмами.

facebook
twitter
вконтакте
pocket
linkedin
fb messenger

Первым проблему обнаружил пользователь Георгий Исащенко, ее опасность также подтвердил киберэксперт Егор Папышев, который занимает должность cybersecurity lead в компании DATAS Technology.

По данным Исащенко, Rabota.ua хранит пароли пользователей в незашифрованном виде с 2002 года. «Если базу данных сайта сольют из-за мельчайшей дыры в безопасности — плохие ребята сразу увидят ваш пароль. Кто не знает, нормальная ситуация — это когда паролей нет в базе, и даже если ее сливают, ничего настолько страшного не происходит. Что хуже, практически любой сотрудник rabota с доступом к базе данных знает ваш пароль и почту», — отметил он.

По словам Папышева, это критическая уязвимость и проверить ее может любой пользователь, просто попытавшись восстановить свой пароль.

«Они хранят пароли в нехешированном виде, и таким образом позволяют возвращать их по запросу открытым текстом. Это крайне плохо, и означает что любой сотрудник, имеющий доступ к базе хотя бы раз за последние 16 лет, потенциально мог вытянуть всю базу и получить все логины-пароли пользователей в открытом виде, чистым текстом.

В качестве пруфа можно просто попробовать восстановить свой пароль и получить его открытым. Так быть не должно. Это критический риск компрометации пользовательских данных», — пояснил он в комментарии AIN.UA.

По словам эксперта, для хранения паролей должна использоваться функция необратимого хеширования, при этом, учитывая текущие возможности по брутфорсу хешей, кроме хеширования должна использоваться «соль», то есть добавление случайной строки с последующим хешированием, что дополнительно усложняет брутфорс полученных злоумышленником хешей. «А тут, выходит, просто подготовлено на вынос — бери и пользуйся, как говорится», — заключил Папышев.

«Учитывая возможные риски компрометации этих данных в течение длительного времени, я крайне рекомендую немедленно сменить пароли ко всем сервисам и ресурсам, которые могут хотя бы отчасти совпадать с тем, что вы когда-либо использовали на ресурсе rabota.ua. Самому ресурсу я советовал бы внедрение базовых практик информационной безопасности в плане защиты пользовательских данных», — написал Папышев в Facebook.

В Rabota.ua наличие уязвимостей опровергают. По словам продукт- и маркетинг-директора по направлению «Соискатели» Константина Павлова, все пароли пользователей хранятся в зашифрованном виде. Проблему с отправкой паролей в письме он признал и пообещал устранить до конца дня.

«Алгоритм разработал один из наши программистов, а за надежность шифрования самой процедуры отвечает компания Microsoft», — заявил он в комментарии AIN.UA. Павлов также предложил вознаграждение в $3000 любому, кто сможет расшифровать пароли на скриншоте базы данных Rabota.ua.

Напомним, на украинском госсайте для судей уже 2 года размещается фишинговая ссылка.

Заметили ошибку? Выделите ее и нажмите Ctrl+Enter, чтобы сообщить нам.

facebook
twitter
вконтакте
pocket
linkedin
fb messenger
Подпишись на нашу рассылку!

Также подобрали для вас

загрузить еще

Добавить комментарий

Такой e-mail уже зарегистрирован. Воспользуйтесь формой входа или введите другой.

Вы ввели некорректные логин или пароль

Читать дальше
Twitter
Одноклассники
Мой Мир

материал с ain.ua

1

      Add

      You can create thematic collections and keep, for instance, all recipes in one place so you will never lose them.

      No images found
      Previous Next 0 / 0
      500
      • Advertisement
      • Animals
      • Architecture
      • Art
      • Auto
      • Aviation
      • Books
      • Cartoons
      • Celebrities
      • Children
      • Culture
      • Design
      • Economics
      • Education
      • Entertainment
      • Fashion
      • Fitness
      • Food
      • Gadgets
      • Games
      • Health
      • History
      • Hobby
      • Humor
      • Interior
      • Moto
      • Movies
      • Music
      • Nature
      • News
      • Photo
      • Pictures
      • Politics
      • Psychology
      • Science
      • Society
      • Sport
      • Technology
      • Travel
      • Video
      • Weapons
      • Web
      • Work
        Submit
        Valid formats are JPG, PNG, GIF.
        Not more than 5 Мb, please.
        30
        surfingbird.ru/site/
        RSS format guidelines
        500
        • Advertisement
        • Animals
        • Architecture
        • Art
        • Auto
        • Aviation
        • Books
        • Cartoons
        • Celebrities
        • Children
        • Culture
        • Design
        • Economics
        • Education
        • Entertainment
        • Fashion
        • Fitness
        • Food
        • Gadgets
        • Games
        • Health
        • History
        • Hobby
        • Humor
        • Interior
        • Moto
        • Movies
        • Music
        • Nature
        • News
        • Photo
        • Pictures
        • Politics
        • Psychology
        • Science
        • Society
        • Sport
        • Technology
        • Travel
        • Video
        • Weapons
        • Web
        • Work

          Submit

          Thank you! Wait for moderation.

          Тебе это не нравится?

          You can block the domain, tag, user or channel, and we'll stop recommend it to you. You can always unblock them in your settings.

          • AIN.UA
          • стартап
          • вконтакте
          • маркетинг
          • домен ain.ua

          Get a link

          Спасибо, твоя жалоба принята.

          Log on to Surfingbird

          Recover
          Sign up

          or

          Welcome to Surfingbird.com!

          You'll find thousands of interesting pages, photos, and videos inside.
          Join!

          • Personal
            recommendations

          • Stash
            interesting and useful stuff

          • Anywhere,
            anytime

          Do we already know you? Login or restore the password.

          Close

          Add to collection

             

            Facebook

            Ваш профиль на рассмотрении, обновите страницу через несколько секунд

            Facebook

            К сожалению, вы не попадаете под условия акции