LinkedIn подвергла миллионы пользователей опасности из-за способа шифрование SSL, использующегося web-сайтом.
Два года назад один из самых популярных социальных сайтов в Интернете LinkedIn потратил около $1 млн на экспертное расследование инцидента после того, как миллионы паролей его пользователей были скомпрометированы из-за крупной утечки личных данных.
Тем не менее, сегодня LinkedIn подвергла сотни миллионов своих пользователей возможной опасности по причине проведения злоумышленниками атаки "человек посередине" (Man-in-the-Middle) из-за способа использования web-сайтом шифрования Secure Sockets Layer (SSL) в сети. Как результат, злоумышленник может перехватить или похитить конфиденциальную информацию пользователя и даже внедриться в сеанс работы систем.
Без сомнения, LinkedIn применяет HTTPS-соединение для входа в учетную запись пользователя, не используя при этом технологию Strict Transport Security (HSTS), которая предотвращает любые передачи сообщений через HTTP, вместо передачи всех сообщений по протоколу HTTPS. Плохая реализация HTTPS / SSL позволяет хакеру перехватывать данные пользователя заменяя все запросы "HTTPS" его незашифрованной формой "HTTP".
К тому же, для удаленного выполнения кибератаки "человек посередине" злоумышленник может скомпрометировать устройство, и как только оно переходит в другую сеть, устройство может быть использовано удаленно для выполнения атаки с применением вредоносного ПО в отношении других пользователей сети.
Первое — находим постоянно, второе — ждем вас