Первым проблему обнаружил пользователь Георгий Исаченко, ее опасность также подтвердил Егор Папышев, который занимает должность cybersecurity lead в компании DATAS Technology.
[fb_embed_post href=”https://www.facebook.com/photo.php?fbid=976538499168225&set=a.976540062501402.1073741826.100004362514579&type=3&theater/” width=”775″/]
По данным Исаченко, Rabota.ua хранит пароли пользователей в незашифрованном виде с 2002 года. “Если базу данных сайта сольют из-за мельчайшей дыры в безопасности – плохие ребята сразу увидят ваш пароль. Кто не знает, нормальная ситуация – это когда паролей нет в базе, и даже если ее сливают, ничего настолько страшного не происходит. Что хуже, практически любой сотрудник rabota с доступом к базе данных знает ваш пароль и почту”, – отметил он.
По словам Папышева, это критическая уязвимость и проверить ее может любой пользователь, просто попытавшись восстановить свой пароль.
“Они хранят пароли в нехешированном виде, и таким образом позволяют возвращать их по запросу открытым текстом. Это крайне плохо, и означает что любой сотрудник, имеющий доступ к базе хотя бы раз за последние 16 лет, потенциально мог вытянуть всю базу и получить все логины-пароли пользователей в открытом виде, чистым текстом.
В качестве пруфа можно просто попробовать восстановить свой пароль и получить его открытым. Так быть не должно. Это критический риск компрометации пользовательских данных”, – пояснил он в комментарии AIN.UA.
По словам эксперта, для хранения паролей должна использоваться функция необратимого хеширования, при этом, учитывая текущие возможности по брутфорсу хешей, кроме хеширования должна использоваться “соль”, то есть добавление случайной строки с последующим хешированием, что дополнительно усложняет брутфорс полученных злоумышленником хешей. “А тут, выходит, просто подготовлено на вынос – бери и пользуйся, как говорится”, – заключил Папышев.
“Учитывая возможные риски компрометации этих данных в течение длительного времени, я крайне рекомендую немедленно сменить пароли ко всем сервисам и ресурсам, которые могут хотя бы отчасти совпадать с тем, что вы когда-либо использовали на ресурсе rabota.ua. Самому ресурсу я советовал бы внедрение базовых практик информационной безопасности в плане защиты пользовательских данных”, – написал Папышев в Facebook.
В Rabota.ua наличие уязвимостей опровергают. По словам продукт- и маркетинг-директора по направлению “Соискатели” Константина Павлова, все пароли пользователей хранятся в зашифрованном виде. Проблему с отправкой паролей в письме он признал и пообещал устранить до конца дня.
[fb_embed_post href=”https://www.facebook.com/konstantin82/posts/2061204440576298/” width=”775″/]
“Алгоритм разработал один из наши программистов, а за надежность шифрования самой процедуры отвечает компания Microsoft“, – заявил он в комментарии AIN.UA. Павлов также предложил вознаграждение в $3000 любому, кто сможет расшифровать пароли на скриншоте базы данных Rabota.ua.
Напомним, на украинском госсайте для судей уже 2 года размещается фишинговая ссылка.
