Персональные данные 1,3 миллиона абонентов крупнейшего во Франции оператора связи Orange похищены хакерами. В руках компьютерных взломщиков оказались паспортные данные, номера телефонов, адреса электронной почты, передает ИТАР-ТАСС. Всем абонентам были разосланы уведомления с просьбой проявлять бдительность и не сообщать через интернет какие-либо конфиденциальные данные, в частности номера банковских счетов и пароли для учетных записей. Это уже не первый случай, когда Orange становится объектом атак киберпреступников. Ранее хакеры сумели получить доступ к данным около 800 тысяч пользователей интернет-услуг.

В OAuth и OpenID обнаружена серьезная уязвимость

Не успел утихнуть скандал после взлома хакерами Heartbleed, в системе библиотек OpenSSL, как очередная новость об уязвимости популярных систем аутенфикации и авторизации, ожидает сообщество интернет пользователей и программистов. Брешь в защите систем OpenID и Oаuth, нашел студент — математик из Наньянского технологического университета в Сингапуре.

Молодой человек утверждает, что нашел способ с помощью которого хакеры, смогут перехватывать конфиденциальную информацию, в которой содержатся личные данные пользователей. Схема работы злоумышленников достаточно проста и основана на принципе скрытого редиректа (covert redirect). Провайдер получает запрос от мнимого доверенного приложения, которое запрашивает подтверждение личных данных о пользователе (аутенфикация), естественно такой запрос тут же выдается и отсылается обратно, но при авторизации, которая происходит после этого, данные пользователя используются не для входа на искомый сайт, а перенаправляются злоумышленниками на вредоносный сайт, воспользовавшись которым хакеры без труда получают всю личную информацию.

Ситуация усугубляется тем, что подобные протоколы авторизации и аутенфикации установлены на большинстве крупных сайтах, таких например как поисковые системы Google и Yahoo, крупные социальные сети: Facebook, Вконтакте, Мой мир, а также в почтовом сервисе Mail.ru и системе электронных платежей PayPal.

Независимый специалисты из Вьетнама Ван Цзин продемонстрировал схему работы злоумышленников на популярной на западе социальной сети Facebook, где без труда смог получить доступ датам рождения, номерам телефонов, адресам электронной почты, информации о месте работы и занимаемой должности, а также к личным фотографиям и переписке, аккаунта, который тестировался на подобные действия хакеров. Студент опубликовал подробную инструкцию, оформив ее в формат видеоролика на YouTube.