23.04.2018

Интересный кейс с Happy End и другими неизвестными последствиями.

Вы в курсе, что на популярнешем ресурсе с вакансиями rabota.ua пароли пользователей (в том числе и наши с вами) более 15 лет были практически незащищены? Как оказалось, для их хранения использовался нестойкий алгоритм хеширования и любой, кто мог подключиться к базе, имел возможность получить все учётные данные в открытом виде. В компании некоторое время отрицали наличие уязвимости и даже предложили награду в $3000 тому, кто расшифрует пароли пользователей сервиса.

Деньги ждали своего героя аж одни сутки. В итоге, Rabota.ua пообещала выплатить средства украинцу Георгию Исаченко, который принял этот вызов и на следующий день предоставил список расшифрованных паролей. «Мы пришли к выводу, что наши подходы и используемые решения не учитывают лучших практик кибербезопасности и требуют модернизации», — признали в компании.

Факт исправления ошибки безусловно радует, однако не отменяет 15-летнего (!) периода «окна компрометации». Если учесть, что многие люди используют одни и те же учётные данные к разным ресурсам и даже платёжным сервисам, остаётся только догадываться, какой в действительности ущерб мог быть за это время нанесён данной ошибкой.