Май 2014 года выдался чрезвычайно бурным и изменчивым с точки зрения информационной безопасности. Будучи омрачен последствиями Heartbleed и «официальной кончиной» Windows XP в апреле, этот месяц принес и много собственных неприятностей.
Подточенные столпы
Вероятно, наиболее серьезный инцидент был раскрыт в конце мая компанией eBay, Inc., в которой признали взлом своей базы данных, случившийся за два месяца до объявления об инциденте и обнаруженный за неделю до обнародования факта.
eBay настаивала на том, что финансовые данные не были скомпрометированы. Тем не менее, злоумышленники увели персональные данные. Ситуация была описана подробно в нашем блоге здесь.
Важно отметить, что это раскрытие совпало с другим объявлением от принадлежащего eBay сервиса PayPal (и несколько затмившим первое). В PayPal сообщили, что они, наконец, заделали дыру в своем портале Manager. Исправленный баг позволял злоумышленнику с легкостью перехватить админский аккаунт, изменить пароль и красть личные данные, не говоря уже о сбережениях.
Manager – это функция сервиса, дающая пользователям возможность управлять своим счетом Payflow, так называемым входом для торговцев, которые используют его для приема платежей клиентов. Подробное описание этой потенциально очень опасной уязвимости можно найти здесь.
Как eBay, так и PayPal (в особенности PayPal) являются в значительной степени столпами электронной коммерции в мире. Даже если хакеры не смогли заполучить финансовые данные, атаки на eBay и PayPal любой степени успешности всегда вызывают тревогу. Если их защита уязвима, то насколько же защищены другие сервисы и операторы электронной коммерции?
Праздник багов Microsoft
Microsoft по-прежнему критикуют после прекращения поддержки Windows XP в апреле.
У киберпреступников не ушло много времени на то, чтобы найти новую уязвимость нулевого дня в Internet Explorer и воспользоваться ей. Дыра обнаружилась во всех версиях браузера, начиная с IE 6, и на всех версиях Windows, включая XP. После недолгих раздумий Microsoft приняла непростое решение выпустить патч и для оставшихся пользователей Windows XP тоже «в виде исключения». Данный шаг был встречен, скажем так, неоднозначно. Некоторые рассматривают этот случай как фактическое нежелание частных и корпоративных пользователей расстаться с античной и небезопасной (хоть и столь любимой) операционной системой, которой до сих пор пользуются миллионы людей во всем мире. Было зарегистрировано несколько атак с применением новых эксплойтов, направленных пользователей Windows XP было зарегистрировано. Возможно, эти факты и повлияли на решение Microsoft сделать «исключение».
Через неделю Microsoft выпустила целый ряд патчей, затрагивающих, в общей сложности, 13 вопросов безопасности в Internet Explorer и Sharepoint Server, а также Windows, MSOffice и .NET Framework. На данный момент это самый крупный пакет исправлений в 2014 году, решающих некоторые очень серьезные проблемы. Да и как им быть несерьезными, если учесть глобальное доминирующее положение Microsoft Windows, Office и повсеместность .NET?
К сожалению, не прошло и двух недель, как Microsoft испытала новый удар в связи с уязвимостью нулевого дня в IE8, обнаруженной благодаря Zero Day Initiative компании HP. Этот баг позволяет злоумышленнику выполнить произвольный код на уязвимых машинах посредством попутных загрузок или вредоносных вложений в сообщениях электронной почты. ZDI сообщила в Microsoftоб ошибке достаточно давно: в соответствии с собственной политикой они раскрывают подробности об уязвимости спустя 180 дней, если вендор не выпустит патч. А вендор не выпустил.
Почему-то Microsoft продолжает отмалчиваться даже после обнародования информации. Компания признала проблему, заявив, что некоторые исправления вносить сложнее обычного, и что проблему в настоящее время решают, но никаких деталей о том, как скоро ошибку исправят, не озвучила. Это привело к ожидаемому разносу корпорации в интернете. Уязвимость остается без патча уже слишком долго.
Bitly под прессом
Сервис коротких ссылок Bitly объявил о внедрении двухфакторной аутентификации после инцидента с утечкой пользовательских данных.
Взлом, впервые обнаруженный в середине мая, вылился в утечку адресов электронной почты пользователей, их зашифрованных (соленых и хэшированных) паролей, ключей API и жетонов OAuth.
Сервис аннулировал украденные учетные данные вскоре после обнаружения факта взлома, в четверг. Это означает, что, если пользователи Facebook или Twitter применяли их для обмена сокращенными URL, то придется менять адреса в следующий раз, когда клиенты сервиса залогинятся, если они хотят использовать их в публикации.
Bitly — хороший и популярный инструмент экономии на длине ссылок, особенно актуальный для Twitter с его лимитом в 140 символов предела. По некоторым данным , Bitly укорачивает свыше миллиарда ссылок в месяц. Данная услуга бесплатна для пользователей, потому и отсутствует риск прямых финансовых потерь. Тем не менее, идентифицируемые персональные данные пользуются высоким спросом у киберпреступников, замышляющих фишинговые кампании, так что этот инцидент ни в коем случае не «безвреден».
Яблоко разора
Ряд пользователей iPhone, iPad и Mac, главным образом, в Австралии обнаружили, что их устройства были «взяты в заложники» в конце мая кем-то под псевдонимом OlegPliss, потребовавшим деньги за код разблокировки. На первый взгляд это смешно: устройства на базе iOS и программы-вымогатели, прочно ассоциирующиеся с ПК и Android?
На самом деле, по-видимому, не было никакого заражения устройств программами-вымогателями. Кто-то злоупотребил функцией FindMyPhone, используя украденные учетные данные пользователей. Неясно, откуда они утекли. Скорее всего, источником послужили взломанные или павшие жертвой социальной инженерии аккаунты iCloud. Apple быстро признала проблему с удаленными блокировками, отрицая, однако, всякую связь с iCloud:
«Apple очень серьезно относится к вопросам безопасности, и сервис iCloud не был скомпрометирован в связи с этим инцидентом. Пострадавшим пользователям рекомендуется сменить свои пароли Apple ID как можно скорее и избегать использования одних и тех же логинов и паролей для нескольких сервисов. Всем, кому требуется дополнительная помощь, предлагаем связаться с AppleCare или посетить местный магазин Apple Store.» (ZDNet).
Эксперт «Лаборатории Касперского» Кристиан Функ заявил, что преступники уже на протяжении двух лет проводят фишинговые атаки на Apple ID. В прошлом году Securelist опубликовал исследование, в котором другой специалист «Лаборатории Касперского» предсказывал возможность осуществления кампаний по вымогательству средств у пользователей устройств на базе iOS и Mac при помощи краденых данных аккаунтов iCloud.
Рост количества атак на устройства IOS – явление неприятное, но вполне ожидаемое. Они популярны достаточно, для того чтобы привлечь внимание преступников, и в то же время iOS до сих пор считается защищенной от вредоносных программ. iOS в самом деле безопасен в плане угроз для обычных ПК и планшетов/телефонов. Но не полностью застрахован. Описанный выше инцидент это подтверждает.
Один на Spotify
Spotify сообщил о взломе системы безопасности и попросил пользователей своего приложения для Android поменять пароли. Технический директор SpotifyОскар Сталь написал на официальном сайте, что они изучают факт несанкционированного доступа к своим системам и внутренним данным компании. Сталь также отметил, что некоторым пользователям будет предложено сбросить пароли.
«Наши данные указывают, что аккаунт только одного пользователя Spotify был скомпрометирован, при этом не было украдено ни пароля, ни финансовой или платежной информации… Мы связались с этим человеком. На основании наших выводов, какого-либо повышенного риска для других пользователей вследствие данного инцидента нет», — написал Сталь.
Spotify ограничивает обновления только пользователями Android и не рекомендует никаких действий для iOS- и Windows-телефонов. Более того, в компании предпочли более ничего не разглашать. Это заставило экспертов сделать «обоснованное предположение», что, должно быть, имела место показательная атака для команды Spotify, побудившая их принять более существенные, чем ожидалось, меры. Если так, то это хороший пример того ответственного подхода к решению проблемы. С другой стороны, это пока лишь догадки. Spotify подробностями решил не делиться.