Взлом учетной записи возможен еще до того, как пользователь ее создаст

Эксперты обнаружили несколько уязвимостей на крупных иностранных сайтах, которыми пользуются миллионы людей. Используя эти недостатки системы, хакеры могут взламывать пользовательские аккаунты еще до того момента, как посетитель его зарегистрирует.

Эксперты проверили порядка 70-ти популярных сайтов, суммарная аудитория которых составляет несколько десятков миллионов посетителей. Половина из этих ресурсов имеет уязвимость, которая позволяет хакерам производить взлом пользовательских аккаунтов еще до момента их регистрации в системе. Они отметили, что взлом аккаунта до момента его создания, предоставляет хакерам точно такие же возможности, которые они могли бы получить, если бы взломали учетную запись уже после регистрации.

Одним из основных параметров, который используется для предварительного взлома, является почтовый адрес. Сейчас найти адрес электронной почты не проблема, поскольку в сети полно баз данных, содержащих такую информацию. Электронный почтовый адрес используется для регистрации на сайте, в надежде на то, что жертва посчитает письмо с подтверждением спамом. После этого злоумышленник либо провоцирует жертву зарегистрироваться на сайте при помощи навязчивой рекламы, либо ждет, пока пользователь сам решит создать учетную запись.

После того как пользователь придет на сайт и создаст учетную запись с использованием своего адреса электронной почты, возможны 5 вариантов дальнейшего развития событий:

- не истекший сеанс. В таком случае, использование автоматического скрипта позволяет хакеру сохранить активным сеанс даже после того, как владелец аккаунта его приостановит. Сбор пароля не поможет лишить хакера доступа к нему.

- Слияние аккаунтов. Такой вариант возможен потому, что система просто посчитает новый зарегистрированный аккаунт попыткой повторной авторизации с использованием технологии single-sign-on. В отдельных случаях система даже не станет уведомлять клиента о повторной авторизации.

- Отсутствие верификации. Этот вид атаки предполагает использование того факта, что на некоторых сайтах в процессе регистрации отсутствует Idp проверка владельца. Чаще всего, такие системы используются на облачных хранилищах.

- Изменение электронного адреса. После регистрации, хакер пытается изменить адрес почты, но не подтверждает изменения. Если пользователь решит сбросить пароль, он просто его меняет на свой.

- Троянский идентификатор. Данный способ атаки представляет собой использование метода федеративной идентификации, который позволит хакеру сохранить контроль над аккаунтом даже в том случае, если жертва решит сменить пароль.