Информационная безопасность и глупость: необычные примеры

в 12:13, , рубрики: безопасность, Блог компании Cloud4Y, глупость, информационная безопасность, пароли, Читальный зал

Одним прекрасным днём я наткнулся на этот твит:

Глаза вас не обманывают.
Глаза вас не обманывают.

Да, этот скриншот ситуации, которая, по мнению большинства людей, нереальна. Короче говоря, фотошоп. Хотя дискуссия на Реддите о пределе человеческой глупости развернулась знатная.

Именно о глупости в сфере информационной безопасности мне и хотелось бы поговорить. Просто потому, что подобные штуки вполне могут быть реальными. Я сталкивался с историями, от которых волосы шевелились абсолютно во всех местах. Наиболее яркими поделюсь сегодня с вами.

Запомнить меня

Допустим, вы хотите заюзать функцию "Запомнить меня". Ну, знаете, ту, где вы ставите галочку, а при следующем посещении сайта вас пускает в систему. Вот как это сделали Black and Decker:

Ой, а что это у нас?
Ой, а что это у нас?

Да, это всего лишь закодированная в Base64 версия вашего пароля в файле cookie. И да, он отправляется небезопасно при каждом запросе, а ещё он не помечен как "безопасный", поэтому отправляется в открытом виде.

Ай-я-яй, думаете вы, это же очень плохо! Но их переплюнули австралийские фермеры:

Информационная безопасность и глупость: необычные примеры - 3

Вот это действительно безопасность! Пароль всё ещё в cookies, а ещё я вижу Reflected XSS-уязвимость, которая возникает, если пользовательский ввод с URL-адреса или данных POST отражается на странице без сохранения. Как вы думали, как они отреагировали на сообщение об уязвимости? Правильно, меня мягко послали. И это ещё один пункт в перечне ИБ-проблем.

Реакция компаний

Я поступил как честный человек, сообщив австралийским фермерам о рисках в далёком 2013 году. А ещё добавил, что им, возможно, не следует рассылать пароли по электронной почте, на что получил эмоциональный ответ от "менеджер по маркетингу":

На сегодняшний день у нас не было ни одной проблемы с безопасностью, связанной с тем, что новые клиенты получали по электронной почте свой пароль, и я точно знаю, что 90% сайтов, на которые я лично регистрируюсь в Интернете, делают точно так же.

А-а-а-а!, не так ли? Это напоминает мне сообщение Oil and Gas International, которые внезапно стали очень капризными, когда Firefox начал предупреждать пользователей о том, что форма входа загружается небезопасно. Ошибка была добавлена в багзиллу.

Ваше уведомление о небезопасном пароле и/или логине, автоматически появляющееся при входе в систему на нашем сайте Oil and Gas International, нежелательно и было помещено туда без нашего разрешения. Пожалуйста, удалите его немедленно. У нас есть собственная система безопасности, и за более чем 15 лет её ни разу не взламывали. Ваше уведомление вызывает беспокойство у наших подписчиков и наносит ущерб нашему бизнесу.

Вот что огорчило владельцев сайта. Аккаунты могут быть скомпрометированы.
Вот что огорчило владельцев сайта. Аккаунты могут быть скомпрометированы.

Ироничненько, что их сайт перестал работать вскоре после этого инцидента. Потом они восстановили его работу, хотя неясно, обновили ли информацию про «15 лет».

Кстати, у British Gas в прошлом тоже были проблемы:

Ну, просто запреты — это не всегда умно с точки зрения безопасности
Ну, просто запреты — это не всегда умно с точки зрения безопасности

Трудно было пройти и мимо Tesco, тоже удивившей своим лёгким ИБ-безумием:

"Пароли хранятся безопасным способом. Они становятся обычным текстом только при автоматической вставке в письмо с напоминанием пароля" — о, да!
"Пароли хранятся безопасным способом. Они становятся обычным текстом только при автоматической вставке в письмо с напоминанием пароля" — о, да!

Безопасный сброс пароля — это ведь так сложно. Мне кажется, им стоит внимательнее изучить тему.

Сброс пароля

Всё началось с этого:

Это нормально, что для смены пароля достаточно имени пользователя и даты рождения?
Это нормально, что для смены пароля достаточно имени пользователя и даты рождения?

Сейчас вы, можете подумать: "О, ваше имя пользователя — это ваш адрес электронной почты, и Betfair просто отправит вам электронное письмо, и вы сбросите пароль по уникальной ссылке". Увы, ваши размышления слишком правильные, чтобы быть правдой. Betfair не поверила Полу, и мне пришлось снять видео показывающее всю глубину факапа:

Всё именно так ужасно: зная чей-то адрес электронной почты и дату рождения, вы можете беспрепятственно сбросить его пароль и заменить на любой другой. Но апофеозом глупости компании стало сообщение для Пола, в котором Betfair с невозмутимым видом любезно сообщила, что пользователь нарушит их условия пользования сервисом, если сообщит свой адрес электронной почты и дату рождения кому-либо ещё. Чёрт возьми, ЧТО?

А нечего такие ценные сведения где попало оставлять
А нечего такие ценные сведения где попало оставлять

Похоже, в Betfair службой безопасности и не пахнет.

Вопросы безопасности

Можно я просто оставлю это здесь?

Это один из худших секретных вопросов, которые я видел.
Это один из худших секретных вопросов, которые я видел.

Что, не особо страшно? Давайте ещё!

Очень секретный вопрос на сайте, на котором я только что был: «Как зовут собаку твоей бабушки?»
Очень секретный вопрос на сайте, на котором я только что был: «Как зовут собаку твоей бабушки?»

На самом деле все эти секретные вопросы — ерунда! Не конкретно эти (хотя они особенно трешовые), а вся идея секретных вопросов. Попробуем что-нибудь более разумное.

Вход в систему

Знаешь, что самое сложное в нашей жизни? Придумывать пароли. Вот бы был какой-нибудь простой способ:

	Для входа просто введите свой номер мобильного телефона и пароль. Пароль — это последние четыре цифры вашего мобильного номера.
Для входа просто введите свой номер мобильного телефона и пароль. Пароль — это последние четыре цифры вашего мобильного номера.

Нет, серьёзно. Это скриншот из интернет-архива.

К чёрту пароли, скажете вы. Но, к сожалению, пока ещё никто не придумал, как от них избавиться. Существует множество технических решений, которые на самом деле никто не хочет использовать. И по факту у нас сейчас больше паролей, чем когда-либо, и они никуда не денутся. Впрочем, я видел кое-что и похуже...

Физическая безопасность

Это невозможно прокомментировать хоть как-то непредвзято и спокойно. Так что я просто покажу вам это:

До чего техника дошла, кабель с антивирусом!
До чего техника дошла, кабель с антивирусом!

Знаете, что действительно меня зацепило? Подумайте о своих друзьях и родственниках, которые ничего не смыслят в технике. Им просто нужно подключить приставку к телевизору. И вот они отправляются в магазин, берут два кабеля HDMI и смотрят на коробки, сравнивая характеристики: у одного кабеля есть антивирусная защита, у другого нет. Как же им быть?

Игры с аккаунтами

А вот ещё одна глупая штука с безопасностью. Представьте: вы заходите на популярный маркетплейс и бросаете в корзину какой-нибудь тонизирующий лосьон, пудру или что-то ещё, о чем я не имею ни малейшего понятия, а затем нажимаете кнопку «Оформить заказ». И вы видите это:

Информационная безопасность и глупость: необычные примеры - 13

Непонятно? Вроде норм? Не-а. Когда вы вводите адрес электронной почты — любой адрес электронной почты с учетной записью на сайте — вам представляются чужие личные данные.

Лёгким движением руки безопасность превращается... Превращается безопасность... Я даже не знаю, во что
Лёгким движением руки безопасность превращается... Превращается безопасность... Я даже не знаю, во что

WTF?!  Они же раскрывают личные данные любого, кто оставлял свой email в системе?! А пользователей там ого-го сколько, сами понимаете. Так что вы можете зайти на сайт, ввести любое женское имя, затем популярный почтовый сервис, и вот вы внутри аккаунта! И если вы думаете «ну, это просто ужасно», то нет. На самом деле это не баг, а фича:

Обратите внимание, что в опросах, которые мы провели, подавляющему большинству клиентов нравится наша система без пароля. Использование вашего адреса электронной почты в качестве пароля является достаточной защитой.

Нет, это не так! Это небезопасно. Я даже завёл там учётную запись, чтобы проверить, как это работает:

Надо бахнуть пивка для успокоения
Надо бахнуть пивка для успокоения

Вот такие пироги с котятами. GDPR, конечно, улучшила ситуацию. Но глупости всё ещё много. А что у вас? Какие истории с безопасностью случались в вашей жизни?


Что ещё интересного есть в блоге Cloud4Y

→ Как открыть сейф с помощью ручки

→ It's Alive! Аккордеон из двух Commodore 64 и дискет

→ Как распечатать цветной механический телевизор на 3D-принтере

→ WD-40: средство, которое может почти всё

→ Подержите моё пиво, или как я сделал RGBeeb, перенеся BBC Micro в современный корпус

Подписывайтесь на наш Telegram-канал, чтобы не пропустить очередную статью. Пишем только по делу. А ещё напоминаем про второй сезон нашего сериала ITить-колотить. Его можно посмотреть на YouTube и ВКонтакте.

Автор: Cloud4Y

Источник

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js