Хакеры получили коды крупнейших порталов рунета
Хакеры нашли уязвимые места «Яндекса», Rambler, Mail, РБК и известных интернет-магазинов. Программисты получили исходные коды более 3 тыс. сайтов рунета.
Около двух месяцев назад двое веб-разработчиков обнаружили уязвимость, позволяющую получать доступ к файловой структуре, а во многих случаях к исходному коду на 3320 интернет-сайтах. 23 сентября один из хакеров опубликовал информацию о существовании уязвимых мест в социальной сети для IT-менеджеров. «Мы дождались, пока все будет закрыто, и только потом опубликовали», -- заявил Infox.ru Антон Исайкин, один из разработчиков, нашедших уязвимость.
Уязвимости нашлись в крупных порталах: это «Яндекс», Rambler, Mail, РБК, интернет-магазины 003.ru и bolero.ru, сайт интернет-браузера opera.com. Все они были заранее предупреждены об уязвимости до публикации, а полученные исходные коды страниц «были распечатаны и сожжены», заверяют программисты в своем сообщении.
«Для некоторых сайтов нам удалось получить полный исходный код. У «Яндекса» мы получили верстку. У Mail и Rambler нам удалось получить некоторые подпроекты. Из зарубежных мы изучили opera.com и classmates.com», -- рассказывает Антон Исайкин Infox.ru. У classmates.com (американский аналог «Одноклассников»), по его словам, удалось получить «абсолютно все исходные коды», что практически позволяет запустить на своем домене совершенно идентичный сервис. «У наших «Одноклассников» и «В контакте» оказалось все хорошо», -- отмечает он.
В пресс-службе Rambler подтвердили, что получали сообщение о найденной проблеме. «Сразу же после обращения мы закрыли доступ к файлам», -- сообщила Infox.ru пресс-секретарь компании Марина Анисимова. По ее словам, хакеры смогли получить доступ «лишь к шаблонам для отображения friends.rambler.ru и статичным файлам news.rambler.ru». «Это никаким образом не сказалось и не скажется на безопасности данных наших пользователей», -- заверяют в компании.
В пресс-службе Mail.ru утверждают, что «никакой уязвимости обнаружено не было». «То, что нашли «хакеры» на огромном количестве сайтов в интернете – включая «Яндекс», РБК, Rambler и другие, – является просто «побочным» эффектом процесса программной разработки, случайно выложенным в интернет. Эта информация никак не позволяет получить доступ к пользовательским данным», -- пояснили там.
«К нам обращались, и мы за это благодарны. К моменту публикации указанная уязвимость уже была устранена», - сообщили в отделе по связям с общественностью «Яндекса». По словам представителя компании, «ни к каким важным данным доступ получить было нельзя». «Сервисы «Яндекса» архитектурно устроены так, что на веб-серверах, которые доступны из интернета, находится только «верстка»: файлы, описывающие то, как будет выглядеть страница, какие блоки на ней размещены. Вся внутренняя логика сервисов, и тем более базы данных, из интернета недоступны – обсуждаемая «уязвимость» им не угрожала. Кроме того, указанной проблеме были подвержены лишь несколько небольших сервисов», - объяснили в компании.
В интернет-магазине 003.ru (компания «Ай-Ти бизнес») говорят, что предупреждение хакеров не получили. «Никакая информация до нас не доходила. Мы не обладаем информацией, что было бы, если бы злоумышленники взломали наш код», -- заявил представитель компании.
«Сам факт того, что такие крупные компании оставили такую дырку, это удар по репутации, -- спорит Антон Исайкин. – Это простая невнимательность, просто долгое время на эту уязвимость никто не обращал внимания. Это чревато чем угодно».
По его словам, «теоретически, любой злоумышленник, получив исходный код в руки, может достать оттуда логин и пароль, реквизиты подключения к базе данных, из-за чего можно забрать всю базу пользователей или обнулить их счета». «У некоторых сайтов была такая возможность», -- признает он.
«Очевидно, причиной ситуации явилась халатность владельцев и разработчиков данных онлайн-ресурсов. Однако чтобы получить доступ к базам данных, злоумышленникам требуется значительно больше времени и сил, нежели просто воспользоваться найденной уязвимостью. В виду того, что уязвимости были оперативно устранены, вероятнее всего, утечки пользовательской информации не произошло», - считает ведущий антивирусный эксперт «Лаборатории Касперского» Виталий Камлюк.
"Самый большой ущерб, который может нанести данная уязвимость - раскрытие исходных кодов и документации к проектам, на которых строится бизнес данных порталов. Естественно, есть вероятность того, что такая информация может попасть к конкурентам, - заметил Сергей Комаров, руководитель отдела антивирусных разработок и исследований "Доктор Веб".
По мнению Виталия Камлюка, обладая исходным кодом сайтов, хакеры могут найти и использовать уязвимости существующие в проектах, что «потенциально может привести к утечкам как внутренней конфиденциальной информации компании, так и персональных данных пользователей».