Как выяснили исследователи безопасности, хакеры могут взломать учетную запись еще до того, как пользователь ее зарегистрирует. Для этого достаточно лишь проэксплуатировать уязвимости на таких популярных сайтах, как Instagram (запрещена в РФ), LinkedIn, Zoom, WordPress и Dropbox.
Специалист Microsoft Security Response Center Эндрю Паверд (Andrew Paverd) и независимый исследователь безопасности Авинаш Судходанан (Avinash Sudhodanan) изучили 75 популярных online-сервисов и как минимум на 35 из них обнаружили уязвимости, позволяющие взламывать аккаунты еще до их регистрации.
«Последствия предварительного взлома учетной записи такие же, как и последствия самого взлома. В зависимости от атакуемого устройства успешно проведенная атака может позволить злоумышленнику читать/модифицировать чувствительную информацию, связанную с учетной записью (сообщения, выписки по счетам, историю использования и пр.) и выполнять действия от лица пользователя (рассылать сообщения, делать покупки с помощью сохраненных способов оплаты и пр.)», - сообщил Судходанан.
Для предварительного взлома атакующий должен знать электронный адрес жертвы, достать который в наше время довольно просто. Далее с помощью этого адреса злоумышленник создает учетную запись на уязвимом сайте и надеется на то, что жертва пропустит уведомление об этом в своей электронной почте, приняв его за спам. Затем он ждет, что жертва сама решит зарегистрироваться на этом сайте или обманом вынуждает ее это сделать.
Существует пять разных атак, которые злоумышленник может осуществить в данном случае: слияние аккаунтов (classic-federated merge, CFM), неистекший сеанс (unexpired session, US), троянский идентификатор (trojan identifier, TID), изменение неистекшего электронного адреса (unexpired email change, UEC) и отсутствие проверки провайдера личности (non-verifying Identity provider (IdP), NV).
В случае с CFM, когда жертва создает учетную запись с уже зарегистрированным адресом электронной почты, уязвимый сайт просто объединяет эти два аккаунта и в некоторых случаях даже не сообщает об этом. Атака базируется на предоставлении жертве возможности авторизации через single-sign-on (SSO), чтобы она не меняла пароль, установленный хакером.
В случае с неистекшим сеансом после создания учетной записи злоумышленник сохраняет сеанс активным с помощью автоматизированного скрипта. Когда жертва регистрирует учетную запись и сбрасывает пароль, активный сеанс не сбрасывается, и хакер сохраняет себе доступ к аккаунту.
Метод с использованием троянского идентификатора представляет собой комбинацию из первого и второго способа.
«Атакующий регистрирует учетную запись на электронную почту жертвы, но затем связывает ее со своим аккаунтом IdP для федеративной аутентификации. Когда жертва сбрасывает пароль (как в случае с неистекшим сеансом), у атакующего по-прежнему сохраняется доступ к аккаунту через федеративную аутентификацию», - пояснили исследователи.
Атака UEC предполагает регистрацию учетной записи на электронный адрес жертвы, после чего злоумышленник отправляет запрос на смену электронной адреса, но не подтверждает его. После того, как жертва сбросит пароль, атакующий подтверждает изменение и получает доступ к учетной записи.
В атаке NV злоумышленник пользуется отсутствием в процессе регистрации аккаунта проверки владельца IdP. Благодаря этому он может воспользоваться облачными сервисами авторизации наподобие Okta или Onelogin.
Руководители OpenAI, Anthropic, Google DeepMind, Microsoft AI и других технологических компаний подписали открытое письмо к Конгрессу США с призывом ввести обязательную проверку заказов на синтетические ДНК и РНК.
Apple заявила, что мессенджер Max был удален из App Store из-за правил соблюдения санкций: в комментарии Русской службе BBC компания уточнила, что соблюдает законы юрисдикций, в которых работает, но не раскрыла, о каких именно санкциях идет речь.
Исследователи Google разработали систему Passive Heart Rate Monitoring, которая позволяет измерять частоту сердечных сокращений и пульс в состоянии покоя с помощью обычной фронтальной камеры смартфона.
Российская индустрия информационной безопасности в ближайшие годы способна дорасти до годового объема в 1 трлн рублей.
На полях Петербургского международного экономического форума заместитель генерального директора «Газпром-Медиа Холдинга» Сергей Косинский, возглавляющий направление цифровых активов, представил аналитический срез ключевых ИБ-вызовов медиаиндустрии.
Заместитель начальника Аналитического центра кибербезопасности ООО «Газинформсервис» Светлана Лагутина выступит с докладом на «Электро-2026».
На Петербургском международном экономическом форуме состоялась профильная сессия Сбера «Цифровой самозванец: новое оружие массового поражения».
В рамках участия в проекте студенты получили практические знания по работе с программными продуктами «Группы Астра», в частности с Astra Linux — российской операционной системой № 1.
Наиболее атакуемыми отраслями остаются телеком, финансовый сектор и государственные организации; мощность отдельных атак выросла на 173%, а атаки свыше 200 Гбит/с участились на 215%.
В Москве на площадке «Группы Астра» состоялось заседание Комитета по информационным технологиям Ассоциации менеджеров, посвященное теме: «Кибербезопасность: защита от атак, которые могут остановить бизнес».
