Недавно от имени администрации сайта Securelist.com, принадлежащего "Лаборатории Касперского", зарегистрированным пользователям этого ресурса были разосланы письма с уведомлением о смене паролей к их учётным записям "по соображениям безопасности". Для каждого пользователя был сгенерирован новый пароль, который следовало получить, воспользовавшись предусмотренной на сайте формой восстановления пароля.


Как выяснилось позднее, эта мера была последним шагом в устранении нескольких уязвимостей, имевших место в системе авторизации сайта. Вчера вечером Александр Гостев из "Лаборатории Касперского" поделился подробностями о произошедшем в блоге Securelist.

По его словам, в сентябре некий пользователь "Хабрахабра" LMaster решил испытать систему авторизации Securelist на прочность и вскоре обнаружил сначала одну, а затем и вторую уязвимости типов XSS и SQL-Injection соответственно.

Гостев сообщает, что в настоящий момент обнаруженная уязвимость полностью исправлена, уточняя, что уязвимость была исправлена еще 19 октября. Однако исправленный код не был опубликован на "боевом" сервере, так как не были закончены дополнительные тесты. После публикации подробностей об обнаруженной уязвимости на "Хабрахабре", вечером воскресенья, 25 октября, специалистам "Лаборатории" пришлось форсировать процесс и опубликовать изменения тогда же.

Гостев пишет, что хронология событий выглядела так:

* 18 октября в ЛК получили уведомление от пользователя.

* 19 октября исправления были внесены, но не опубликованы.

* 20 октября представители ЛК ответили автору на его сообщение.

* 22 октября автор публикует статью о данных проблемах на сайте r3al.ru, в которой он подчеркивает, что уязвимость до сих пор не закрыта.

* 25 октября выходит публикация на "Хабрахабре".

В комментариях на "Хабрахабре" ряд читателей заметил, что действия LMaster могут быть признаны нарушением ряда статей Уголовного Кодекса РФ и что он может быть привлечен к ответственности. "Это действительно так, и для этого есть дополнительные основания, - заявляет Гостев. Эксперт отмечает тот факт, что обнаружив уязвимость, LMaster не стал сразу в этот же момент уведомлять о ней. Вместо этого он воспользовался данной уязвимостью для получения неавторизованного доступа. LMaster сам пишет об этом:

"Не долго думая, я вставил сниффер, прокомментировал несколько блогов и стал ждать. Сниффер висел на сайте около месяца. За это время я смог перехватить 91 аккаунт к сайту".

Вызывает вопросы и желание автора "получить свои 15 минут славы", опубликовав информацию о неисправленной уязвимости."Общепринятая в сообществе практика: если уж ты действительно whitehat и сообщил о проблеме вендору, то координируй и дальнейшие действия с ним, — отмечает Гостев некорректность действий хакера, которые, к тому же, можно квалифицировать как незаконные. — Несмотря на то, что формально он нарушил закон, тяжелых последствий это не повлекло, и мы не планируем ответных юридических действий в этот раз".

Гостев также утверждает, что это не первый подобный случай: похоже, что в июле этого года, точно по такой же схеме автор (LMaster) опубликовал информацию о неисправленной XSS-уязвимости в Яндексе.

Кроме того, специалисты "Лаборатории" обнаружили, что пользователь, известный как LMaster, является давним и активным участником "Антивирусной Школы", еще одного открытого проекта ЛК, в котором участвуют школьники и студенты.

"Мы ожидали более этичного поведения от людей, которые являются нашими регулярными читателями", - пишет Гостев.