Взлом службы знакомств Plenty of Fish
Главная » Новости

Взлом службы знакомств Plenty of Fish

Александр Панасенко 01 Февраля 2011 - 12:55
...

Служба знакомств Plenty of Fish стала жертвой хакеров и собственного руководителя. В результате проведенного анализа аргентинским хакером Крисом Руссо (Chris Russo) на веб-сайте Plenty of Fish была обнаружена уязвимость, приводящая к возможной утечке всей базы данных пользователей (около 30 млн. пользователей).

По результату анализа был составлен отчет, описывающий уязвимость и содержащий рекомендации по ее устранению. Отчет был отправлен руководителям и разработчикам социальной сети Plenty of Fish. Кроме того, Крис упомянул в письме, что уязвимость широко используется разными злоумышленниками для получения пользовательских данных, так как уязвимость очень проста в эксплуатации, сообщает uinc.ru.

Уязвимость была связана с некорректными настройками веб-сервера и отсутствием проверки входных данных, которые приводили к возможности получения полного доступа к базе данных пользователей через исполнение MsSQL-команд. База данных пользователей содержала всю информацию об аккаунтах, включая пароль в открытом виде и реквизиты доступа к PayPal-счетам. Вместо благодарности, заботливый хакер получил письмо с угрозами, в которых его обвинили во взломе, краже информации и попытке сбыта ее на "черном" рынке и шантаже.

Описываемые Крисом Руссо уязвимость была закрыта, а пароли пользователей изменены. Напомним, что Крис Руссо известен по недавнему взлому популярного торрент-трекера The Pirate Bay. По мнению независимых наблюдателей, высказанные претензии к хакеру являются в большей степени вымыслом, который создатели Plenty of Fish захотели использовать в качестве рекламы своего проекта.

Исследователи компьютерной безопасности утверждают, что это далеко не первый случай обнаружения уязвимостей на веб-сайте Plenty of Fish, а факт хранения паролей в открытом виде лишь доказывает предположение о низком уровне программного кода и отсутствие каких-либо средств защиты информации.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Количество атак на веб-сайты российских компаний удвоилось
Яков Шпунт 28 Апреля 2025 - 12:10
Атаки на сайтыDDoS-атаки Малый и средний бизнесКорпорации ГК «Солар»
Количество атак на веб-сайты российских компаний удвоилось

Согласно данным, собранным ГК «Солар» за первый квартал 2025 года, на веб-сайты российских компаний было совершено 801,2 млн веб-атак. Это в два раза больше, чем за аналогичный период прошлого года.

Основными целями атак стали сайты логистических сервисов, государственных структур и кредитно-финансовых организаций.

В исследование вошли онлайн-ресурсы 134 российских компаний из различных отраслей, защищаемых сервисом Solar WAF. Среди них — организации из госсектора, ИТ, логистики, розничной торговли, банковской сферы, промышленности, телекома и других отраслей.

Особое внимание аналитики обратили на логистическую отрасль: в одном из случаев число атак на компанию выросло за год в 5,5 тыс. раз. Основную активность здесь проявляли боты, которые перехватывали номера заказов, введённые пользователями на фейковых сайтах, и затем создавали множество запросов на официальный сайт компании, резко увеличивая нагрузку на серверы.

Число сканирований веб-ресурсов в поисках уязвимостей также значительно возросло — в 5,4 раза, до 678 млн случаев, что составило 84% всех зафиксированных атак. В три раза увеличилось количество сложных веб-атак.

Среди сложных атак в ГК «Солар» выделили следующие типы:

  • DNS Rebinding — попытки получить контроль над хостом атакуемого сайта;

  • CSS Injection — внедрение вредоносного CSS-кода в веб-приложение для изменения его внешнего вида или кражи данных;

  • Denial of Service (DoS) — проведение объемных запросов с целью вызвать сбой в работе веб-приложения;

  • XML Injection — манипулирование логикой XML-приложений или документов для доступа к конфиденциальным данным, повреждения данных, отказа в обслуживании или выполнения произвольного кода.

«Аналитика показывает, что злоумышленники стали настойчивее в попытках взломать веб-приложения: если раньше, увидев защиту, они быстро переключались на менее защищённые сайты, то сейчас продолжают упрямо искать уязвимости в защищённых ресурсах. Мы рекомендуем всем компаниям использовать сервисы защиты с опытной командой, способной круглосуточно отражать мощные волны веб-атак», — отметил Алексей Пашков, руководитель направления WAF ГК «Солар».

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Anubis: новая партнёрская программа в даркнете возвела шантаж в абсолют
Новость
Anubis: новая партнёрская программа в даркнете возвела шанта...
7% утёкших учеток Roblox, Discord, Netflix содержат рабочий имейл
Новость
7% утёкших учеток Roblox, Discord, Netflix содержат рабочий...
В Android закрыли уязвимость нулевого дня, уже фигурирующую в кибератаках
Новость
В Android закрыли уязвимость нулевого дня, уже фигурирующую...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.