Около 700 млн пользователей оказались под угрозой из-за уязвимости в branch.io
Исследователи безопасности обнаружили серьезную уязвимость, затрагивающую такие сервисы, как Tinder, Yelp, Shopify, Western Union и пр., и ставящую под угрозу сотни миллионов пользователей.
Изначально проблема была обнаружена в ходе аудита кодов сайтов знакомств. Выявив XSS-уязвимость на поддомене Tinder.com, а точнее на go.tinder.com, исследователи сообщили о ней производителям приложений.
Однако, как оказалось, проблема распространялась далеко за пределы сайтов знакомств. По словам специалистов из VPNMentor, ныне уже исправленная уязвимость ставила под угрозу порядка 685 млн пользователей. С ее помощью злоумышленники могли осуществить межсайтовый скриптинг через DOM (так называемый DOM Based XSS) с целью похищения конфиденциальных данных или взлома учетных записей. Для эксплуатации уязвимости жертва должна была пройти по вредоносной ссылке или посетить вредоносную web-страницу, будучи авторизованной в уязвимом сервисе.
Столь большое число затронутых уязвимостью приложений объясняется тем, что изначально она присутствовала в наборе инструментов branch.io, предназначенном для определения, откуда на сайт или в приложение зашел пользователь (с Facebook, Twitter и т.д.). Из branch.io уязвимость перекочевала во множество сервисов и мобильных приложений.
Читайте также
- Ошибка в API Facebook предоставляла доступ к фото 6,8 млн пользователей
- Одного ноутбука оказалось достаточно для компрометации всей корпоративной сети
- Депутаты Госдумы разработали план по обеспечению работы Рунета на случай отключения от Сети
- Морские суда часто подвергаются кибератакам
- 25 декабря состоится встреча сообщества специалистов по кибербезопасности АСУ ТП / RUSCADASEC
- Уязвимость в приложении Logitech позволяла удаленно инициировать нажатие клавиш
