Хакеры нашли уязвимые места «Яндекса», Rambler, Mail, РБК и известных интернет-магазинов. Программисты получили исходные коды более 3 тыс. сайтов рунета.
Около двух месяцев назад двое веб-разработчиков обнаружили уязвимость, позволяющую получать доступ к файловой структуре, а во многих случаях к исходному коду на 3320 интернет-сайтах. 23 сентября один из хакеров опубликовал информацию о существовании уязвимых мест в социальной сети для IT-менеджеров. «Мы дождались, пока все будет закрыто, и только потом опубликовали», - заявил Infox.ru Антон Исайкин, один из разработчиков, нашедших уязвимость.
По словам хакеров, уязвимости нашлись в крупных порталах: это «Яндекс», Rambler, Mail, РБК, интернет-магазины 003.ru и bolero.ru, сайт интернет-браузера opera.com. Все они были заранее предупреждены об уязвимости до публикации, а полученные исходные коды страниц «были распечатаны и сожжены», заверяют программисты в своем сообщении.
«Для некоторых сайтов нам удалось получить полный исходный код. У «Яндекса» мы получили верстку. У Mail и Rambler нам удалось получить некоторые подпроекты. Из зарубежных мы взломали opera.com и classmates.com», - рассказывает Антон Исайкин Infox.ru. У classmates.com (американский аналог «Одноклассников»), по его словам, удалось получить «абсолютно все исходные коды», что практически позволяет запустить на своем домене совершенно идентичный сервис. «У наших «Одноклассников» и «В контакте» оказалось все хорошо», - отмечает он.
В пресс-службе Rambler подтвердили, что получали сообщение от хакеров о найденной проблеме. «Сразу же после обращения мы закрыли доступ к файлам», - сообщила Infox.ru пресс-секретарь компании Марина Анисимова. По ее словам, хакеры смогли получить доступ «лишь к шаблонам для отображения friends.rambler.ru и статичным файлам news.rambler.ru». «Это никаким образом не сказалось и не скажется на безопасности данных наших пользователей», - заверяют в компании.
В пресс-службе Mail.ru утверждают, что «никакой уязвимости обнаружено не было». «То, что нашли «хакеры» на огромном количестве сайтов в интернете - включая «Яндекс», РБК, Rambler и другие, - является просто «побочным» эффектом процесса программной разработки, случайно выложенным в интернет. Эта информация никак не позволяет получить доступ к пользовательским данным», - пояснили там.
«К нам обращались, и мы за это благодарны. К моменту публикации указанная уязвимость уже была устранена», - сообщили в отделе по связям с общественностью «Яндекса». По словам представителя компании, «ни к каким важным данным доступ получить было нельзя». «Сервисы «Яндекса» архитектурно устроены так, что на веб-серверах, которые доступны из интернета, находится только «верстка»: файлы, описывающие то, как будет выглядеть страница, какие блоки на ней размещены. Вся внутренняя логика сервисов, и тем более базы данных, из интернета недоступны - обсуждаемая «уязвимость» им не угрожала. Кроме того, указанной проблеме были подвержены лишь несколько небольших сервисов», - объяснили в компании.
В интернет-магазине 003.ru (компания «Ай-Ти бизнес») говорят, что предупреждение хакеров не получили. «Никакая информация до нас не доходила. Мы не обладаем информацией, что было бы, если бы злоумышленники взломали наш код», - заявил представитель компании.
«Сам факт того, что такие крупные компании оставили такую дырку, это удар по репутации, - спорит Антон Исайкин. - Это простая невнимательность, просто долгое время на эту уязвимость никто не обращал внимания. Это чревато чем угодно».
По его словам, злоумышленник, «получив исходный код в руки, может достать оттуда логин и пароль, реквизиты подключения к базе данных, из-за чего можно забрать всю базу пользователей или обнулить их счета». «У некоторых сайтов была такая возможность», - признает он.
|
