USD 63.95 ЕВРО 71.13

Объявленная Mega охота на баги приносит первые результаты

Экономика

11.02.13

Объявленная Mega охота на баги приносит первые результаты

Семь уязвимостей было обнаружено и пропатчено в рамках программы выплаты вознаграждений за нахождения багов и брешей в безопасности.

Через неделю после объявления
сезона
охоты на баги
, создатели сервиса Mega сообщают о том, что найдено не менее
семи уязвимостей.

Представители сервиса не вдаются в подробности, однако сообщают, что все
баги были закрыты в течение нескольких часов после обнаружения.

Было найдена две уязвимости первого класса с наименьшим рейтингом
безопасности. В их число вошло отсутствие X-Frame-Option в заголовках
HTTP-запросов. Эти заголовки определяют, может ли запрашиваемая страница
отображаться во встраиваемом элементе. Типичные атаки могли через фреймы
встраивать страницы Mega в сторонний сайт и накладывать поверх них прозрачные
элементы, чтобы ввести пользователя в заблуждение и вызвать случайные клики на
них.

Еще одна уязвимость первого класса – это отсутствие строгой безопасности
передачи информации по протоколу HTTP. Она должна обеспечивать гарантию того,
что все ссылки на сайте Mega будут использовать TLS/SSL, даже если в исходном
коде они прописаны с префиксом  http://, а не  https://. Если
соединение не может быть защищено через TLS/SSL, оно просто не
устанавливается.

Единственная уязвимость второго класса, которую Mega определяет как
кросс-сайтовую скриптовую атаку могла быть проведена только после «атаки на
серверный кластер API или удачного проведения атаки с применением человеческого
фактора». Злоумышленник мог воспользоваться строками, которые проходят через
API-сервера при помощи загрузок, аккаунтов и страниц экспорта ссылок. Однако
для всего этого сначала требуется взлом API-сервера.

Еще три кросс-сайтовые скриптовые атаки были определены как уязвимости
третьего класса – «воспроизведение кода в клиентских браузерах». Злоумышленники
могли производить атаки при помощи манипуляций с названиями файлов и папок,
неизвестными элементами в файле страницы загрузки, а также при помощи
функциональности копирования и вставки, предоставляемой сторонними
компонентами.

Последней уязвимости был присвоен класс 4, подразумевающий под собой
криптографическую уязвимость в дизайне, которая могла быть использована только
в случае взлома серверной инфраструктуры. Атака строится на основе уязвимости в
алгоритме хэширования CBC-MAC/ Сейчас он уже заменен на SHA256.

Ни одной уязвимости класса 5 (удаленное воспроизведение произвольного кода
на серверах Mega) или класса 6 (свободно эксплуатируемая криптографическая
уязвимость в дизайне) обнаружено не было. Кроме того, никому так и не удалось
расшифровать пароль к аккаунту, передаваемый в зашифрованном виде в ссылках на
файлы.