прислать материал
AIN.UA » Безопасность, Коллекции, ЛучшееВ Rabota.ua признали проблему с паролями. Энтузиасту выплатят $3000

В Rabota.ua признали проблему с паролями. Энтузиасту выплатят $3000

3165 0

На прошлой неделе украинец Георгий Исаченко обратил внимание на то, что пароли пользователей популярного ресурса с вакансиями Rabota.ua хранятся в незашифрованном виде. В самой компании проблему отрицали и даже показали скриншот из базы, предложив любому, кто расшифрует пароли, вознаграждение в размере $3000. Исаченко вызов принял и на следующий день выложил список расшифрованных паролей.

А 16 апреля Rabota.ua выступила с официальной позицией по данному кейсу. Если коротко, компания признала проблему и пообещала устранить ее в ближайшее время.

«…Мы пришли к выводу, что наши подходы и используемые решения не учитывают лучших практик кибербезопасности и требуют модернизации. Именно поэтому, с привлечением ведущих экспертов в области кибербезопасности, команда разработки уже занимается оценкой совместимости нашей текущей архитектуры с современными технологиями хеширования, и в ближайшее время эта задача будет реализована», — говорится в сообщении компании.

Продукт- и маркетинг-директор по направлению «Соискатели» в компании Rabota.ua Константин Павлов сообщил AIN.UA, что точное понимание сроков закрытия уязвимости должно быть уже к вечеру, но по предварительным оценкам решить проблему планируют до конца текущей недели.

Rabota.ua вынесла благодарность Георгию Исаченко и пообещала выплатить ему обещанное вознаграждение в сумме $3000 за обнаружение уязвимости и привлечение внимания к вопросу. В свою очередь Павлов также поблагодарил Егора Папышева, cybersecurity lead в компании DATAS Technology, который подтвердил обнаруженную Исаченко уязвимость.

Напомним, по заключению Папышева, Rabota.ua хранила пароли в нехешированном виде, что делало возможным возвращать их по запросу открытым текстом. Это означает что любой сотрудник, имеющий доступ к базе, потенциально мог получить все логины-пароли пользователей в открытом виде. Вместе с тем, для хранения паролей должна использоваться функция необратимого хеширования и «соль» (добавление случайной строки с последующим хешированием, что дополнительно усложняет брутфорс полученных злоумышленником хешей).

Ранее на AIN.UA выходил тест, который поможет определить, насколько хорошо вы осведомлены о безопасности в сети.

Заметили ошибку? Выделите ее и нажмите Ctrl+Enter, чтобы сообщить нам.

Также подобрали для вас

Загрузить еще

Добавить комментарий

Такой e-mail уже зарегистрирован. Воспользуйтесь формой входа или введите другой.

Вы ввели некорректные логин или пароль

Поиск

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: