Все о Цифровых системах - новости, статьи, обзоры, аналитика. Более 1000 компаний, товаров и услуг в каталоге.
Добавить компанию

Зная один лишь email-адрес, хакер взломал систему и получил $500

Рубрика: «Кибербезопасность»

Зная один лишь email-адрес, хакер взломал систему и получил $500

По словам Анастасии Дьяченко, методиста лаборатории развития и продвижения компетенций кибербезопасности аналитического центра кибербезопасности компании «Газинформсервис», обычное поле ввода адреса электронной почты на сайте может стать «приоткрытой дверью» для хакеров из-за недостаточной защиты системы обработки электронных писем. Даже самые, казалось бы, простые элементы веб-сайтов могут скрывать в себе серьёзные угрозы.

«Многие сайты проверяют адрес email только на правильность формата, но не фильтруют на возможное наличие в поле ввода вредоносного кода», — отметила Дьяченко.

Недавнее исследование, опубликованное на платформе InfoSecWriteups, наглядно продемонстрировало, как недостаточно защищённое поле для ввода адреса электронной почты стало причиной уязвимости, за которую автор получил вознаграждение в $500. В случае, описанном в статье, это позволило атакующему выдать себя за другого пользователя. Имея лишь название чужого email-адреса, злоумышленник мог получить доступ к обращениям, отправленным через веб-форму, и к конфиденциальной переписке, связанной с этим адресом.

«Из-за ошибок в обеспечении безопасности, допущенных специалистами по защите данных, злоумышленники могут получить доступ к приватным данным, перехватить конфиденциальную информацию или полностью завладеть аккаунтами», — предупреждает Анастасия.

Этот случай — яркое тому подтверждение. Уязвимость в таком, казалось бы, безобидном элементе, как поле для email, может привести к утечке конфиденциальных данных, нарушению приватности пользователей и репутационным потерям для компании.

Кроме того, эксперт подчеркнула, что бизнесу важно непрерывное обнаружение компьютерных атак и реагирование на них в режиме 24/7 — его можно проводить силами центра мониторинга и реагирования компании «Газинформсервис» GSOC.