Mar 072017
 

Нова, по-сериозна уязвимост на Abv.bg откриха експерти от специализирана фирма за киберсигурност TAD GROUP. Преди по-малко от месец екипът разкри, че Abv.bg е косвено уязвим към Cross-site scripting (XSS) атаки, които позволяват на хакерите да инжектират скриптове в уеб страниците на Abv.bg, които потребителите му използват.

Тогава проблемът беше частично поправен, но сега разследването на киберекспертите доведе до ново разкритие, че Abv.bg е уязвим към Man-In-The-Middle (MITM) атаки. Този тип атаки позволява на хакерите да прихванат трафика, насочен към Abv.bg, включително потребителски имена и пароли. Атаката срещу Abv.bg е възможна, ако хакерът е свързан към същата мрежа, като регистрираните потребители. Тогава той може да прихване трафика на жертвата и прескачайки слоя за сигурност на HTTPS връзката да открадне потребителските данни във видим текст.

Тази атака е възможна, поради липсата на строг HTTPS контрол в Abv.bg.

Според етичния кодекс на добрите практики в бранша, на 20 февруари 2017 г. TAD GROUP са уведомили Нет Инфо АД, собственик на Abv.bg, за откритата уязвимост, заедно с подробно описание как компанията бързо да разреши проблемите с киберсигурността си.

Разкритието на двете уязвимости на Abv.bg е част от започнатата кампания за подпомагане на бизнеса да подсигури базите си данни и личната информация на потребителите си, преди те да са се превърнали в хакерска мишена. В резултат на разкритието на към днешна дата втората открита уязвимост на Abv.bg е поправена.

Източник: Kaldata.com

Real Time Web Analytics