В Rabota.ua признали проблему с паролями. Энтузиасту выплатят $3000

На прошлой неделе украинец Георгий Исаченко обратил внимание на то, что пароли пользователей популярного ресурса с вакансиями Rabota.ua хранятся в незашифрованном виде. В самой компании проблему отрицали и даже показали скриншот из базы, предложив любому, кто расшифрует пароли, вознаграждение в размере $3000. Исаченко вызов принял и на следующий день выложил список расшифрованных паролей.

[fb_embed_post href=»https://www.facebook.com/photo.php?fbid=977527295736012&set=a.976540062501402.1073741826.100004362514579&type=3&theater/» width=»725″/]

А 16 апреля Rabota.ua выступила с официальной позицией по данному кейсу. Если коротко, компания признала проблему и пообещала устранить ее в ближайшее время.

«…Мы пришли к выводу, что наши подходы и используемые решения не учитывают лучших практик кибербезопасности и требуют модернизации. Именно поэтому, с привлечением ведущих экспертов в области кибербезопасности, команда разработки уже занимается оценкой совместимости нашей текущей архитектуры с современными технологиями хеширования, и в ближайшее время эта задача будет реализована», — говорится в сообщении компании.

Продукт- и маркетинг-директор по направлению «Соискатели» в компании Rabota.ua Константин Павлов сообщил AIN.UA, что точное понимание сроков закрытия уязвимости должно быть уже к вечеру, но по предварительным оценкам решить проблему планируют до конца текущей недели.

Rabota.ua вынесла благодарность Георгию Исаченко и пообещала выплатить ему обещанное вознаграждение в сумме $3000 за обнаружение уязвимости и привлечение внимания к вопросу. В свою очередь Павлов также поблагодарил Егора Папышева, cybersecurity lead в компании DATAS Technology, который подтвердил обнаруженную Исаченко уязвимость.

Напомним, по заключению Папышева, Rabota.ua хранила пароли в нехешированном виде, что делало возможным возвращать их по запросу открытым текстом. Это означает что любой сотрудник, имеющий доступ к базе, потенциально мог получить все логины-пароли пользователей в открытом виде. Вместе с тем, для хранения паролей должна использоваться функция необратимого хеширования и «соль» (добавление случайной строки с последующим хешированием, что дополнительно усложняет брутфорс полученных злоумышленником хешей).

Ранее на AIN.UA выходил тест, который поможет определить, насколько хорошо вы осведомлены о безопасности в сети.