Прошел день с того времени, как я сделал попытку убедить людей, что в сети нужно очень тщательно выбирать, кому доверять свои данные (пафосно звучит, правда?)

О том, что же было и что из этого получилось, дальше.


Сайт bestpersons был выбран, конечно, не случайно, но он просто идеален в качестве наглядного пособия по тому, как не нужно делать безопасные сайты. О начале издевательств над ним можно почитать здесь: Сервис хранения паролей и раздачи их всем желающим.

Из-за туманных комментариев владельцев сайта, не утрудивших себя описанием того, что случилось с их сайтом и даже не уведомивших своих пользователей о том, что им нужно сделать (сменить все пароли, которые совпадали с паролем на bestpersons, удалить свой аккаунт ;) ) даже крупные интернет-издания не смогли понять, что же произошло. Ни rian.ru, ни Roem.ru, ни Securitylab не дали реальной версии событий.

Недавно нашел интересный сервис - он позволял оставлять на нем свои пароли от разных сайтов и, при желании, постить при желании на все эти сайты сразу из одного интерфейса.

Я сам таким не пользуюсь и плохо понимаю зачем такие сайты нужны, но мне стало интересно, насколько же защищены пароли пользователей на этих сайтах?

Полазив по сервису, нашёл парочку дырок с XSS-уязвимостью. Но на каком сайте их не бывает? Даже на хабре вон не все еще закрыли (хотя хабр и не хранит чужие пароли, ему простительно).

Еще больше я был удивлен, когда узнал, что сменить пароль пользователя и любую его информацию на этом сервисе можно обладая всего лишь его кукой. Такой простой вещи, как ограничение сессий по IP там нет, не говоря уже о требовании ввести пароль при смене критичных данных. А это уже совсем непростительно, даже на хабре такого неуважения к безопасности нет.

Но это не самое смешное. Случайно я обнаружил, что если сменить свой емейл в профиле, то система радостно отправляет на новый емейл незашифрованный пароль пользователя. Это уже ни в какие ворота. Мало того, что даже хранить незашифрованный пароль пользователя нельзя, но отсылать его по почте в открытом виде кому попало...

Все это мне стало настолько интересно, что я решил узнать, что же может добиться хакер на этом сайте?

Написав небольшой скриптик и применив немного психологии (чтобы заставить людей зайти на мой профиль, на котором был этот скрипт), я получил в открытом виде пароли около 400 пользователей сервиса. Учитывая, что 80 и больше процентов людей используют один и тот же пароль на нескольких сайтах (а иногда и на почте), а список сайтов, на которых зарегистрирован пользователь, можно найти прямо в его профиле (это основная "фишка" того сервиса, о котором идет речь), то получается просто рай для злоумышленников.

Написав совсем немного кода на JS можно получить доступ к паролю человека, постить от его имени в другие его блоги (если он настроил эту "фичу" на сервисе), при удаче (или неосторожности пользователя) получить доступ к его аккаунтам на других сайтах.

Что же это за замечательный сервис?
Это bestpersons.ru, программисты которого с гордостью писали о найденных XSS на самом Jaiku! UPD: уже не гордятся :(

Удачи тем, кто использует сервисы, "объединяющие сайты".

з.ы. а еще они предоставляют OpenID ;)

продолжение истории

(с)habrahabr.ru