30 ноября 2021

Разработчики потеряли явки и пароли

На GitHub появились cookies пользователей Firefox

Тысячи файлов cookie браузера Firefox, которые используются для авторизации на интернет-ресурсах, оказались в открытом доступе на платформе для IT-разработчиков GitHub. Эксперты полагают, что утекшие файлы содержат данные самих пользователей GitHub, которые они выложили по ошибке. Используя cookies, злоумышленники могут без логина и пароля зайти в сервисы, которые посещали их владельцы. Чтобы избежать подобных рисков, пользователям стоит регулярно очищать cookies и не сохранять пароли в сервисах.

На GitHub выложены тысячи файлов cookie браузера Firefox, которые могут быть использованы для перехвата интернет-сессий пользователей, обнаружил британский эксперт Эйдан Марлин. Он уведомил представителей GitHub и получил ответ, что «учетные данные, предоставленные нашими пользователями, не входят в сферу охвата нашей программы по поиску уязвимостей», сообщило профильное британское издание The Register.

GitHub — крупнейший сервис для хостинга и совместной разработки IT-проектов, объединяющий хранилище (репозиторий) более 100 млн проектов с открытым кодом и социальную сеть для разработчиков. Услугами платформы пользуются более 40 млн разработчиков по всему миру и более 1,5 млн компаний, включая Apple, Amazon и Google. Аудитория платформы в России в 2021 году составила почти 2 млн пользователей.

Cookies –– это небольшие текстовые документы, содержащие информацию о посещении сайтов, в том числе логины и пароли для входа в личные кабинеты. Использование cookies позволяет пользователям не вводить каждый раз информацию для авторизации на сайтах.

Поскольку GitHub ориентирован на открытую публикацию, получить доступ к загруженным cookies может любой желающий, отмечает ведущий инженер CorpSoft24 Михаил Сергеев. Используя cookies, злоумышленник может без логина и пароля зайти на ресурсы, которые посещала жертва, добавляет директор блока экспертных сервисов Bi.Zone Евгений Волошин. Он может сбросить пароли и завладеть аккаунтами, предупреждает глава направления Solar webProxy «Ростелеком-Солар» Петр Куценко. Эти файлы, уточняет он, могут использоваться не только в Firefox, но и в других браузерах. По данным StatCounter, в октябре Mozilla Firefox пользовались всего 4,46% россиян. В целом в 2021 году около 2,3% российских пользователей использовали Firefox, следует из статистики «Яндекс.Радара».

Утекшие cookies могут содержать данные пользователей GitHub, полагают эксперты.

Вероятно, это следствие их собственной ошибки, говорит менеджер практики «Информационная безопасность» Accenture в России Марат Цихмистров. Она могла произойти из-за отсутствия знаний в области кибербезопасности, по аналогии с написанием пароля от компьютера на стикере возле монитора, отмечает Петр Куценко.

При подобной утечке не поможет даже двухфакторная аутентификация, полагает Михаил Сергеев. В какой-то степени может защитить проверка геолокации, которую проводят некоторые сервисы: если владелец аккаунта всегда заходил на сайт с IP-адресов России, а теперь пытается войти из США, то использовать сookies у злоумышленника не получится, говорит руководитель департамента аудита кибербезопасности Infosecurity a Softline company Сергей Ненахов.

Для предотвращения подобных случаев существуют специальные утилиты, с помощью которых можно проверить, не выложил ли человек что-то лишнее на GitHub, отмечает старший эксперт по кибербезопасности в «Лаборатории Касперского» Денис Легезо. Важно разлогиниваться на сайтах или регулярно очищать файлы cookies, добавляет Михаил Сергеев. «Не стоит отмечать галочкой поля "запомнить меня" или "не спрашивать больше пароль"»,— уточняет Сергей Ненахов. Тем пользователям, чьи cookies оказались в открытом доступе, добавляет он, стоит сменить логины и пароли.

 

Источник: Коммерсант

Исследование iTrend: зарплата для ИТ-специалистов — не решающий фактор при выборе работодателя

23 апреля 2024

Эксперты коммуникационного агентства iTrend провели исследование, в рамках которого проанализировали критерии выбора работы, а также медиапредпочтения более 300 высокоуровневых специалистов из крупных российских ИТ-компаний.

 

Команда iTrend начала работу с Институтом iSpring

19 апреля 2024

Институт iSpring — частный ИТ-вуз нового поколения. Он был основан в 2021 году в Йошкар-Оле российским предпринимателем и основателем международной ИТ-компании iSpring Юрием Усковым.

 

Вебинар РУССОФТ, iTrend и BiToBe: «Работодатель-as-a-Service: новая реальность привлечения ИТ-специалистов»

15 апреля 2024

23 апреля в 15:00 прошел открытый вебинар «Работодатель-as-a-Service: Новая реальность привлечения ИТ-специалистов»

 

iTrend: освоить маркировку интернет-рекламы можно только на собственном опыте

25 марта 2024

В феврале 2024 года в Москве прошла Конференция «Digital-коммуникации России». Организатор мероприятия – Ассоциация директоров по коммуникациям и корпоративным медиа России (АКМР). Эксперты конференции обсудили острые вопросы рынка digital, в том числе маркировку интернет-рекламы. Об опыте коммуникационного агентства в рамках перехода на работу по новым правилам рассказала Екатерина Саранцева, директор по развитию iTrend.

 

Медиалогия: iTrend – в ТОП-4 коммуникационных агентств по медиаиндексу за январь 2024 года

20 марта 2024

Коммуникационное агентство iTrend вошло в пятерку агентств, получивших наиболее высокий медиаиндекс по данным рейтинга «Медиалогии» за январь 2024 года. Компания заняла четвёртую строчку ранкинга, набрав 433,2 пункта МИ. Медиаактивность участников рынка оценивалась на основе анализа базы российских СМИ, включающей в себя более 88 тыс. источников — ТВ, радио, газеты, журналы, информационные агентства и Интернет-СМИ.

 
Все новости iTrend