Автор Павел Белавин, Алексей ГусаковИсточник
Опубликовал
Хакеры нашли уязвимые места «Яндекса», Rambler, Mail, РБК и
известных интернет-магазинов. Программисты получили исходные коды более
3 тыс. сайтов рунета.
Около двух месяцев назад двое
веб-разработчиков обнаружили уязвимость, позволяющую получать доступ к
файловой структуре, а во многих случаях к исходному коду на 3320
интернет-сайтах. 23 сентября один из хакеров опубликовал информацию о
существовании уязвимых мест в социальной сети для IT-менеджеров. «Мы
дождались, пока все будет закрыто, и только потом опубликовали», -
заявил Infox.ru Антон Исайкин, один из разработчиков, нашедших
уязвимость.
По словам хакеров, уязвимости нашлись в крупных
порталах: это «Яндекс», Rambler, Mail, РБК, интернет-магазины 003.ru и
bolero.ru, сайт интернет-браузера opera.com. Все они были заранее
предупреждены об уязвимости до публикации, а полученные исходные коды
страниц «были распечатаны и сожжены», заверяют программисты в своем
сообщении.
«Для некоторых сайтов нам удалось получить полный
исходный код. У «Яндекса» мы получили верстку. У Mail и Rambler нам
удалось получить некоторые подпроекты. Из зарубежных мы взломали
opera.com и classmates.com», - рассказывает Антон Исайкин Infox.ru. У
classmates.com (американский аналог «Одноклассников»), по его словам,
удалось получить «абсолютно все исходные коды», что практически
позволяет запустить на своем домене совершенно идентичный сервис. «У
наших «Одноклассников» и «В контакте» оказалось все хорошо», - отмечает
он.
В пресс-службе Rambler подтвердили, что получали сообщение
от хакеров о найденной проблеме. «Сразу же после обращения мы закрыли
доступ к файлам», - сообщила Infox.ru пресс-секретарь компании Марина
Анисимова. По ее словам, хакеры смогли получить доступ «лишь к шаблонам
для отображения friends.rambler.ru и статичным файлам news.rambler.ru».
«Это никаким образом не сказалось и не скажется на безопасности данных
наших пользователей», - заверяют в компании.
В пресс-службе
Mail.ru утверждают, что «никакой уязвимости обнаружено не было». «То,
что нашли «хакеры» на огромном количестве сайтов в интернете - включая
«Яндекс», РБК, Rambler и другие, - является просто «побочным» эффектом
процесса программной разработки, случайно выложенным в интернет. Эта
информация никак не позволяет получить доступ к пользовательским
данным», - пояснили там.
«К нам обращались, и мы за это
благодарны. К моменту публикации указанная уязвимость уже была
устранена», - сообщили в отделе по связям с общественностью «Яндекса».
По словам представителя компании, «ни к каким важным данным доступ
получить было нельзя». «Сервисы «Яндекса» архитектурно устроены так,
что на веб-серверах, которые доступны из интернета, находится только
«верстка»: файлы, описывающие то, как будет выглядеть страница, какие
блоки на ней размещены. Вся внутренняя логика сервисов, и тем более
базы данных, из интернета недоступны - обсуждаемая «уязвимость» им не
угрожала. Кроме того, указанной проблеме были подвержены лишь несколько
небольших сервисов», - объяснили в компании.
В интернет-магазине
003.ru (компания «Ай-Ти бизнес») говорят, что предупреждение хакеров не
получили. «Никакая информация до нас не доходила. Мы не обладаем
информацией, что было бы, если бы злоумышленники взломали наш код», -
заявил представитель компании.
«Сам факт того, что такие крупные
компании оставили такую дырку, это удар по репутации, - спорит Антон
Исайкин. - Это простая невнимательность, просто долгое время на эту
уязвимость никто не обращал внимания. Это чревато чем угодно».
По
его словам, злоумышленник, «получив исходный код в руки, может достать
оттуда логин и пароль, реквизиты подключения к базе данных, из-за чего
можно забрать всю базу пользователей или обнулить их счета». «У
некоторых сайтов была такая возможность», - признает он.
Практическиможно в любую программу войти неофициально, как в квартиру любого дома. Не через входную дверь, так через окно, пололок, стену, пол. Просто проломить, реально остаются следы, но вертуально следы не остаются, а вот поступки - да.