Poważna dziura w GG

Strona główna Aktualności

O autorze

Artur Poczekalewicz oraz Marcin Bukowski odkryli dziurę w skryptach ASP na serwerze firmy obsługującej Gadu-Gadu. Błąd umożliwiał pobieranie z bazy hasła oraz adresu e-mail każdego użytkownika o określonym numerze identyfikacyjnym lub też poprzez wybieranie numerów losowo. Dzięki temu odkryciu wiadamo już jak wykradziono hasła opublikowane na łamach serwisu Interceptor. Artur Poczekalewicz wraz z Marcinem Bukowskim poinformowali firmę o fatalnym błędzie - ta jednak początkowo wogóle nie zareagowała by dopiero po tygodniu poprawić go bez udzielenia żadnych informacji. W tym czasie błąd został jednak odkryty przez innych, którzy zdobyte w ten sposób informacje zaczęli wykorzystywać do podszywania się pod dowolnych użytkowników Gadu-Gadu. Po fali nadużyć operator zalecił użytkownikom zmianę hasła \"ze względów bezpieczeństwa\'\'. Obecnie nie ma odpowiedniej ochrony poufności przesyłanych danych podczas operacji takich jak zmiana hasła chociaż samo logowanie jest bezpieczne i nie powoduje zagrożenia podejrzenia hasła.

Niestety wielu użytkowników używa tych samych haseł do wielu usług co może powodować, iż podejrzenie hasła GG stanowi niebezpieczeństwo jego stosowania w innych przypadkach, być może bardziej poważnych niż podszywanie się za użytkownika podczas rozmów na GG, warto o tym pamiętać.

Źródło: IPsec

© dobreprogramy

Komentarze