Найти тему
1132 подписчика

Хакеры могут взламывать еще не созданные учетные записи


Создание ситуаций, позволяющих завладеть только что созданной учетной записью, стало новой стратегией хакеров.

Тенденцию назвали атакой предварительного захвата.

Многие веб-сайты и службы в Интернете будут уязвимы для новой атаки. 35 из 75 самых популярных веб-сайтов пропустят как минимум одну такую атаку: Dropbox, Instagram, LinkedIn, WordPress и Zoom.

Хакерам нужна информацию о цели атаки: адрес электронной почты, номер телефона, ID и другие персональные данные. Эта информация доступна в социальных сетях или базах хакеров. При этом хакеру и жертве должна быть одновременно доступна целевая учетная запись.

Выявлено 5 вариантов атаки. 2 из них основаны на использовании одного адреса электронной почты для создания разных учетных записей, что позволяет хакеру, создавшему фальшивую учетную запись, получить доступ к законной.

Также хакер создает учетную запись с адресом электронной почты жертвы, а затем отправляет запрос на её изменение, чтобы заменить адрес электронной почты своим, но без подтверждения. Когда атакуемый выполнит сброс пароля, хакер подтвердит изменение адреса электронной, получив контроль над учетной записью.

Четвертый случай касается платформ, на которых аутентифицированные пользователи не выходят из активной учетной записи после сброса пароля. Хакер поддерживает активность учетной записи с помощью скрипта, и когда пользователь запросит ее сброс, получит над ней контроль (продолжение текста в галерее🔽).
1 минута