2024 m. gruodžio 25 d.

 

„Microsoft Office 365“ „skylė“ leidžia vogti vartotojų duomenis

Paskelbta: 2013-12-23 08:56 Autorius: FACEIT Team

Microsoft „debesų“ tarnyba Office 365 turi kritinę spragą vartotojų autentifikacijos sistemoje, kuri kelia grėsmę vartotojų duomenų saugumui. Šią informaciją išplatino Noamas Liranas, kompanijoje Adallom dirbantis programinės įrangos architektūrų padalinio vadovu.

Office 365 iš vartotojo reikalauja paskyros autorizacijos, o siunčiant dokumentą iš tarnybos SharePoint sutikrinami vartotojo prisijungimo duomenys, siunčiant atitinkamus  verifikacijos duomenis.

Pastarieji turėtų būti siunčiami tik tuo atveju, kai serveris yra domene sharepoint.com. Tačiau N. Liranas išsiaiškino, kad jei bus sukurtas nuosavas serveris, kuris veiktų kaip ir tikrasis SharePoint, vartotojo kompiuteris vis tiek į jį turės siųsti autentifikacijos duomenis.

„Dabar mano kenkėjiškas WEB serveris turi jūsų Office 365 autentifikacinius duomenis, ir aš galiu apsilankyti jūsų SharePoint puslapyje, atsisiųsti visus dokumentus, pakeisti juos arba atlikti kitus veiksmus. Jūs niekada apie tai nesužinosite. Tai idealus nusikaltimas“, – pareiškė N. Liranas.

Microsoft gana greitai sureagavo į publikuotą pažeidžiamumą ir išleido naują saugumo biuletenį. Kaip spraga gali būti išnaudota realybėje, N. Liranas pademonstravo specialiai sukurtame vaizdo klipe:

Kalba redaguota ekspertai.eu

Association „Global Gaze Network“
IBAN: CH9409000000161276571
BIC: POFICHBEXXX
(banko pavedimo mokestis toks pat, kaip darant pavedimą ir Lietuvoje)
Adresas: Brandschenkenstrasse 53
Miestas: Zürich
Pašto kodas: 8002


 
Komentarai

 
Parašykite komentarą
Ekspertai.eu įspėja, kad komentaras – tai viešas informacijos paskelbimas.
Komentatorius atsako už savo viešai paskelbtą žinomai neteisingą, įžeidžiančią, šmeižikiško ar nusikalstamo turinio informaciją (tai yra komentarai, kuriuose skatinama tautinė, rasinė, religinė ar kitokia neapykanta, raginimai nuversti teisėtą Lietuvos valdžią, organizuoti sąmokslą prieš valstybę, pakeisti jos konstitucinę santvarką, kėsintis į nepriklausomybę arba pažeisti teritorijos vientisumą, šiais tikslais kurti ginkluotas grupes arba daryti kitus nusikaltimus, kuriais kėsinamasi į Lietuvos valstybę) LR teisės aktų nustatyta tvarka.
Ekspertai.eu komentarų neredaguoja.
Komentarai su keiksmažodžiais ar vulgarybėmis bei piktybiškai kartojami tekstai yra šalinami.
Vardas
Komentaras