В Rabota.ua признали проблему с паролями. Энтузиасту выплатят $3000

На прошлой неделе украинец Георгий Исаченко обратил внимание на то, что пароли пользователей популярного ресурса с вакансиями Rabota.ua хранятся в незашифрованном виде. В самой компании проблему отрицали и даже показали скриншот из базы, предложив любому, кто расшифрует пароли, вознаграждение в размере $3000. Исаченко вызов принял и на следующий день выложил список расшифрованных паролей, пишут AIN.UA.

А 16 апреля Rabota.ua выступила с официальной позицией по данному кейсу. Если коротко, компания признала проблему и пообещала устранить ее в ближайшее время.

«…Мы пришли к выводу, что наши подходы и используемые решения не учитывают лучших практик кибербезопасности и требуют модернизации. Именно поэтому, с привлечением ведущих экспертов в области кибербезопасности, команда разработки уже занимается оценкой совместимости нашей текущей архитектуры с современными технологиями хеширования, и в ближайшее время эта задача будет реализована», — говорится в сообщении компании.

Продукт- и маркетинг-директор по направлению «Соискатели» в компании Rabota.ua Константин Павлов сообщил AIN.UA, что точное понимание сроков закрытия уязвимости должно быть уже к вечеру, но по предварительным оценкам решить проблему планируют до конца текущей недели.

Rabota.ua вынесла благодарность Георгию Исаченко и пообещала выплатить ему обещанное вознаграждение в сумме $3000 за обнаружение уязвимости и привлечение внимания к вопросу. В свою очередь Павлов также поблагодарил Егора Папышева, cybersecurity lead в компании DATAS Technology, который подтвердил обнаруженную Исаченко уязвимость.

Напомним, по заключению Папышева, Rabota.ua хранила пароли в нехешированном виде, что делало возможным возвращать их по запросу открытым текстом. Это означает что любой сотрудник, имеющий доступ к базе, потенциально мог получить все логины-пароли пользователей в открытом виде. Вместе с тем, для хранения паролей должна использоваться функция необратимого хеширования и «соль» (добавление случайной строки с последующим хешированием, что дополнительно усложняет брутфорс полученных злоумышленником хешей).

Ранее на AIN.UA выходил тест, который поможет определить, насколько хорошо вы осведомлены о безопасности в сети.


Майя Яровая, AIN


!

Если для Вас конкретно эта новость оказалась важной или интересной - пожалуйста, поделитесь ею в своей любимой социальной сети с помощью кнопок, расположенных под этим текстом. Это поможет нам в будущем делать более качественную подборку материалов, исходя из Ваших потребностей\интересов.




Коды для вставки в блог\форум

blog comments powered by Disqus


Вспомним другие новости из этого раздела?


Internet и сети

←+Ctrl+→

Интересные новости
Google закроет потребительскую версию Google+ в апреле 2019Google закроет потребительскую версию Google+ в апреле 2019
Джон Мюллер о плохих ссылках и файле DisavowДжон Мюллер о плохих ссылках и файле Disavow
Киберполиция закрыла два офиса брокера бинарных опционов в КиевеКиберполиция закрыла два офиса брокера бинарных опционов в Киеве
Facebook начал тестировать показ рекламы в результатах поискаFacebook начал тестировать показ рекламы в результатах поиска
К концу года интернетом будут пользоваться больше половины землянК концу года интернетом будут пользоваться больше половины землян
Блок рекламы


Похожие новости

В ЕС признали перепечатку интернет-фото без разрешения автора незаконнойВ ЕС признали перепечатку интернет-фото без разрешения автора незаконной
Google Assistant признали более точным, чем Alexa, Cortana и SiriGoogle Assistant признали более точным, чем Alexa, Cortana и Siri
Facebook не будет выделять новости и посты брендов в отдельную ленту. Эксперимент признали неудачным
Цена биткоина уже превысила $5100. Месяц назад он стоил менее $3000Цена биткоина уже превысила $5100. Месяц назад он стоил менее $3000
В Массачусетском институте признали научную пользу «Википедии»
AdSense решил проблему с остановкой показа рекламы на многих сайтахAdSense решил проблему с остановкой показа рекламы на многих сайтах
Биткоин упал ниже $3000 вслед за новостями о закрытии бирж в КитаеБиткоин упал ниже $3000 вслед за новостями о закрытии бирж в Китае
Многолетние практики по созданию безопасных pa$sw0rdS признали неэффективнымиМноголетние практики по созданию безопасных pa$sw0rdS признали неэффективными
Цена биткойна впервые превысила $3000
Skype пытается решить проблему массового сбоя в работеSkype пытается решить проблему массового сбоя в работе
Последние новости

Подгружаем последние новости