В Rabota.ua признали проблему с паролями. Энтузиасту выплатят $3000

На прошлой неделе украинец Георгий Исаченко обратил внимание на то, что пароли пользователей популярного ресурса с вакансиями Rabota.ua хранятся в незашифрованном виде. В самой компании проблему отрицали и даже показали скриншот из базы, предложив любому, кто расшифрует пароли, вознаграждение в размере $3000. Исаченко вызов принял и на следующий день выложил список расшифрованных паролей, пишут AIN.UA.

А 16 апреля Rabota.ua выступила с официальной позицией по данному кейсу. Если коротко, компания признала проблему и пообещала устранить ее в ближайшее время.

«…Мы пришли к выводу, что наши подходы и используемые решения не учитывают лучших практик кибербезопасности и требуют модернизации. Именно поэтому, с привлечением ведущих экспертов в области кибербезопасности, команда разработки уже занимается оценкой совместимости нашей текущей архитектуры с современными технологиями хеширования, и в ближайшее время эта задача будет реализована», — говорится в сообщении компании.

Продукт- и маркетинг-директор по направлению «Соискатели» в компании Rabota.ua Константин Павлов сообщил AIN.UA, что точное понимание сроков закрытия уязвимости должно быть уже к вечеру, но по предварительным оценкам решить проблему планируют до конца текущей недели.

Rabota.ua вынесла благодарность Георгию Исаченко и пообещала выплатить ему обещанное вознаграждение в сумме $3000 за обнаружение уязвимости и привлечение внимания к вопросу. В свою очередь Павлов также поблагодарил Егора Папышева, cybersecurity lead в компании DATAS Technology, который подтвердил обнаруженную Исаченко уязвимость.

Напомним, по заключению Папышева, Rabota.ua хранила пароли в нехешированном виде, что делало возможным возвращать их по запросу открытым текстом. Это означает что любой сотрудник, имеющий доступ к базе, потенциально мог получить все логины-пароли пользователей в открытом виде. Вместе с тем, для хранения паролей должна использоваться функция необратимого хеширования и «соль» (добавление случайной строки с последующим хешированием, что дополнительно усложняет брутфорс полученных злоумышленником хешей).

Ранее на AIN.UA выходил тест, который поможет определить, насколько хорошо вы осведомлены о безопасности в сети.


Майя Яровая, AIN


!

Если для Вас конкретно эта новость оказалась важной или интересной - пожалуйста, поделитесь ею в своей любимой социальной сети с помощью кнопок, расположенных под этим текстом. Это поможет нам в будущем делать более качественную подборку материалов, исходя из Ваших потребностей\интересов.




Коды для вставки в блог\форум

blog comments powered by Disqus


Вспомним другие новости из этого раздела?


Internet и сети

←+Ctrl+→

Интересные новости
Instagram запустил вопросы в Stories. Многие подумали, что они анонимныInstagram запустил вопросы в Stories. Многие подумали, что они анонимны
Судебная администрация хочет создать мобильный ЦОД. Проект обойдется в десятки миллионов гривенСудебная администрация хочет создать мобильный ЦОД. Проект обойдется в десятки миллионов гривен
«Молитва за доступный общественный транспорт»: в украинском Facebook вирусится новый флешмоб«Молитва за доступный общественный транспорт»: в украинском Facebook вирусится новый флешмоб
За распространение майнера криптовалют двум студентам с восточной Украины грозит до 5 лет тюрьмыЗа распространение майнера криптовалют двум студентам с восточной Украины грозит до 5 лет тюрьмы
Туристический сервис Booking.com прекратил работу в Крыму. Это объяснили санкциями против РФТуристический сервис Booking.com прекратил работу в Крыму. Это объяснили санкциями против РФ
Блок рекламы


Похожие новости

Facebook не будет выделять новости и посты брендов в отдельную ленту. Эксперимент признали неудачным
Цена биткоина уже превысила $5100. Месяц назад он стоил менее $3000Цена биткоина уже превысила $5100. Месяц назад он стоил менее $3000
В Массачусетском институте признали научную пользу «Википедии»
AdSense решил проблему с остановкой показа рекламы на многих сайтахAdSense решил проблему с остановкой показа рекламы на многих сайтах
Биткоин упал ниже $3000 вслед за новостями о закрытии бирж в КитаеБиткоин упал ниже $3000 вслед за новостями о закрытии бирж в Китае
Многолетние практики по созданию безопасных pa$sw0rdS признали неэффективнымиМноголетние практики по созданию безопасных pa$sw0rdS признали неэффективными
Цена биткойна впервые превысила $3000
Skype пытается решить проблему массового сбоя в работеSkype пытается решить проблему массового сбоя в работе
Биткоин установил новый рекорд — $3000Биткоин установил новый рекорд — $3000
Google устранил проблему с датами в результатах поискаGoogle устранил проблему с датами в результатах поиска
Последние новости

Подгружаем последние новости