Откриха сериозна уязвимост в Abv.bg

10
6185

Нова, по-сериозна уязвимост на Abv.bg откриха експерти от специализирана фирма за киберсигурност TAD GROUP. Преди по-малко от месец екипът разкри, че Abv.bg е косвено уязвим към Cross-site scripting (XSS) атаки, които позволяват на хакерите да инжектират скриптове в уеб страниците на Abv.bg, които потребителите му използват.

Тогава проблемът беше частично поправен, но сега разследването на киберекспертите доведе до ново разкритие, че Abv.bg е уязвим към Man-In-The-Middle (MITM) атаки. Този тип атаки позволява на хакерите да прихванат трафика, насочен към Abv.bg, включително потребителски имена и пароли. Атаката срещу Abv.bg е възможна, ако хакерът е свързан към същата мрежа, като регистрираните потребители. Тогава той може да прихване трафика на жертвата и прескачайки слоя за сигурност на HTTPS връзката да открадне потребителските данни във видим текст.

Тази атака е възможна, поради липсата на строг HTTPS контрол в Abv.bg.

„Изводът от разкриването на новата уязвимост на Abv.bg е, че потребителите, които са регистрирани в Abv.bg, могат да станат жертви на хакерите чрез MITM атака. Този вид уязвимост се счита за сериозен проблем на сигурността“, коментира откритието техническият директор на TAD GROUP Божидар Димитров.

Според етичния кодекс на добрите практики в бранша, на 20 февруари 2017 г. TAD GROUP са уведомили Нет Инфо АД, собственик на Abv.bg, за откритата уязвимост, заедно с подробно описание как компанията бързо да разреши проблемите с киберсигурността си.

Разкритието на двете уязвимости на Abv.bg е част от започнатата кампания за подпомагане на бизнеса да подсигури базите си данни и личната информация на потребителите си, преди те да са се превърнали в хакерска мишена. В резултат на разкритието на към днешна дата втората открита уязвимост на Abv.bg е поправена.

ДОБАВИ КОМЕНТАР

10 коментара за "Откриха сериозна уязвимост в Abv.bg"

Извести ме за
avatar
Сортиране по:   най-нови | най-стари | най-висока оценка
asdsad
asdsad

да пестяха пари за SSL .. затова не им ползвам сайта

Стан
Стан

Най-лошото е, че лично съм ги предупреждавал за тези неща. И за други. Явно думите ми за тях са били „думи на глукак“

Анонимен
Анонимен

Затова използвам Gmail.
Безмислено е съществуването на abv и ми е чудно, как още не са закрили сайта.

pix3l
pix3l

Abv-то е много полезна поща! Лично аз я ползвам за регистрации в български форуми и порно сайтове. 😀

а3 e bre oy
а3 e bre oy

@azvezdev честит празник dami ?

Олигофрени
Олигофрени

Чакам някой да дойде и да се закачи към мрежата ми, за да ми прихване паролата в ABV където се логвам веднъж на 15 години. Пълни олигофрени сте всичките и най-вече тези, които репортват подобни глупости. Олигофрени тъпи. Много ви знаят селските мозъци какво е киберсигурност.

pako
pako

Реклама на TAD GROUP със съдействието на Нет Инфо.

анти-дебил
анти-дебил

Ползвам я само, за да пиша коментари тук.Дори не съм я отварял от години. RIP ABV

Beast
Beast

Това са феноменално тъпи открития. Нямат абсолютно никакво практическо приложение. За да се случи трябва първо профилът да е регистриран по много сложен и конкретен начин и само след подобна регистрация може да бъде хакнат по описания метод. Real Life вериятност да се случи под 0%.

sadas
sadas

Тъпанар

wpDiscuz