Одним прекрасным днём я наткнулся на этот твит:
Да, этот скриншот ситуации, которая, по мнению большинства людей, нереальна. Короче говоря, фотошоп. Хотя дискуссия на Реддите о пределе человеческой глупости развернулась знатная.
Именно о глупости в сфере информационной безопасности мне и хотелось бы поговорить. Просто потому, что подобные штуки вполне могут быть реальными. Я сталкивался с историями, от которых волосы шевелились абсолютно во всех местах. Наиболее яркими поделюсь сегодня с вами.
Запомнить меня
Допустим, вы хотите заюзать функцию "Запомнить меня". Ну, знаете, ту, где вы ставите галочку, а при следующем посещении сайта вас пускает в систему. Вот как это сделали Black and Decker:
Да, это всего лишь закодированная в Base64 версия вашего пароля в файле cookie. И да, он отправляется небезопасно при каждом запросе, а ещё он не помечен как "безопасный", поэтому отправляется в открытом виде.
Ай-я-яй, думаете вы, это же очень плохо! Но их переплюнули австралийские фермеры:
Вот это действительно безопасность! Пароль всё ещё в cookies, а ещё я вижу Reflected XSS-уязвимость, которая возникает, если пользовательский ввод с URL-адреса или данных POST отражается на странице без сохранения. Как вы думали, как они отреагировали на сообщение об уязвимости? Правильно, меня мягко послали. И это ещё один пункт в перечне ИБ-проблем.
Реакция компаний
Я поступил как честный человек, сообщив австралийским фермерам о рисках в далёком 2013 году. А ещё добавил, что им, возможно, не следует рассылать пароли по электронной почте, на что получил эмоциональный ответ от "менеджер по маркетингу":
На сегодняшний день у нас не было ни одной проблемы с безопасностью, связанной с тем, что новые клиенты получали по электронной почте свой пароль, и я точно знаю, что 90% сайтов, на которые я лично регистрируюсь в Интернете, делают точно так же.
А-а-а-а!, не так ли? Это напоминает мне сообщение Oil and Gas International, которые внезапно стали очень капризными, когда Firefox начал предупреждать пользователей о том, что форма входа загружается небезопасно. Ошибка была добавлена в багзиллу.
Ваше уведомление о небезопасном пароле и/или логине, автоматически появляющееся при входе в систему на нашем сайте Oil and Gas International, нежелательно и было помещено туда без нашего разрешения. Пожалуйста, удалите его немедленно. У нас есть собственная система безопасности, и за более чем 15 лет её ни разу не взламывали. Ваше уведомление вызывает беспокойство у наших подписчиков и наносит ущерб нашему бизнесу.
Ироничненько, что их сайт перестал работать вскоре после этого инцидента. Потом они восстановили его работу, хотя неясно, обновили ли информацию про «15 лет».
Кстати, у British Gas в прошлом тоже были проблемы:
Трудно было пройти и мимо Tesco, тоже удивившей своим лёгким ИБ-безумием:
Безопасный сброс пароля — это ведь так сложно. Мне кажется, им стоит внимательнее изучить тему.
Сброс пароля
Всё началось с этого:
Сейчас вы, можете подумать: "О, ваше имя пользователя — это ваш адрес электронной почты, и Betfair просто отправит вам электронное письмо, и вы сбросите пароль по уникальной ссылке". Увы, ваши размышления слишком правильные, чтобы быть правдой. Betfair не поверила Полу, и мне пришлось снять видео показывающее всю глубину факапа:
Всё именно так ужасно: зная чей-то адрес электронной почты и дату рождения, вы можете беспрепятственно сбросить его пароль и заменить на любой другой. Но апофеозом глупости компании стало сообщение для Пола, в котором Betfair с невозмутимым видом любезно сообщила, что пользователь нарушит их условия пользования сервисом, если сообщит свой адрес электронной почты и дату рождения кому-либо ещё. Чёрт возьми, ЧТО?
Похоже, в Betfair службой безопасности и не пахнет.
Вопросы безопасности
Можно я просто оставлю это здесь?
Что, не особо страшно? Давайте ещё!
На самом деле все эти секретные вопросы — ерунда! Не конкретно эти (хотя они особенно трешовые), а вся идея секретных вопросов. Попробуем что-нибудь более разумное.
Вход в систему
Знаешь, что самое сложное в нашей жизни? Придумывать пароли. Вот бы был какой-нибудь простой способ:
Нет, серьёзно. Это скриншот из интернет-архива.
К чёрту пароли, скажете вы. Но, к сожалению, пока ещё никто не придумал, как от них избавиться. Существует множество технических решений, которые на самом деле никто не хочет использовать. И по факту у нас сейчас больше паролей, чем когда-либо, и они никуда не денутся. Впрочем, я видел кое-что и похуже...
Физическая безопасность
Это невозможно прокомментировать хоть как-то непредвзято и спокойно. Так что я просто покажу вам это:
Знаете, что действительно меня зацепило? Подумайте о своих друзьях и родственниках, которые ничего не смыслят в технике. Им просто нужно подключить приставку к телевизору. И вот они отправляются в магазин, берут два кабеля HDMI и смотрят на коробки, сравнивая характеристики: у одного кабеля есть антивирусная защита, у другого нет. Как же им быть?
Игры с аккаунтами
А вот ещё одна глупая штука с безопасностью. Представьте: вы заходите на популярный маркетплейс и бросаете в корзину какой-нибудь тонизирующий лосьон, пудру или что-то ещё, о чем я не имею ни малейшего понятия, а затем нажимаете кнопку «Оформить заказ». И вы видите это:
Непонятно? Вроде норм? Не-а. Когда вы вводите адрес электронной почты — любой адрес электронной почты с учетной записью на сайте — вам представляются чужие личные данные.
WTF?! Они же раскрывают личные данные любого, кто оставлял свой email в системе?! А пользователей там ого-го сколько, сами понимаете. Так что вы можете зайти на сайт, ввести любое женское имя, затем популярный почтовый сервис, и вот вы внутри аккаунта! И если вы думаете «ну, это просто ужасно», то нет. На самом деле это не баг, а фича:
Обратите внимание, что в опросах, которые мы провели, подавляющему большинству клиентов нравится наша система без пароля. Использование вашего адреса электронной почты в качестве пароля является достаточной защитой.
Нет, это не так! Это небезопасно. Я даже завёл там учётную запись, чтобы проверить, как это работает:
Вот такие пироги с котятами. GDPR, конечно, улучшила ситуацию. Но глупости всё ещё много. А что у вас? Какие истории с безопасностью случались в вашей жизни?
Что ещё интересного есть в блоге Cloud4Y
→ Как открыть сейф с помощью ручки
→ It's Alive! Аккордеон из двух Commodore 64 и дискет
→ Как распечатать цветной механический телевизор на 3D-принтере
→ WD-40: средство, которое может почти всё
→ Подержите моё пиво, или как я сделал RGBeeb, перенеся BBC Micro в современный корпус
Подписывайтесь на наш Telegram-канал, чтобы не пропустить очередную статью. Пишем только по делу. А ещё напоминаем про второй сезон нашего сериала ITить-колотить. Его можно посмотреть на YouTube и ВКонтакте.
Автор: Cloud4Y