Недавно от имени администрации сайта Securelist.com, принадлежащего "Лаборатории Касперского", зарегистрированным пользователям этого ресурса были разосланы письма с уведомлением о смене паролей к их учётным записям "по соображениям безопасности". Для каждого пользователя был сгенерирован новый пароль, который следовало получить, воспользовавшись предусмотренной на сайте формой восстановления пароля.

Как выяснилось позднее, эта мера была последним шагом в устранении нескольких уязвимостей, имевших место в системе авторизации сайта. Сегодня Александр Гостев из "Лаборатории Касперского" поделился подробностями о произошедшем в блоге Securelist.

По его словам, хронология событий выглядела так. В сентябре некий пользователь "Хабрахабра" LMaster решил испытать систему авторизации Securelist на прочность и вскоре обнаружил сперва одну, а затем и вторую уязвимости типов XSS и SQL-Injection соответственно.

Межсайтинговый скриптинг позволил ему внедрить на сайт сниффер и перехватывать данные cookie пользователей ресурса. С их помощью он смог логиниться к сайты под чужими аккаунтами, что, в свою очередь, позволяет получить доступ к паролям этих пользователей (для этого нужно поменять в настройках e-mail, попросить выслать на него "забытый" пароль — ну и вернуть прежний e-mail, чтобы замести следы).

Примерно через месяц, 18 октября, LMaster, наконец, сообщил о своих находках в "Лабораторию Касперского". 19 октября специалисты компании устранили уязвимости на тестовом сервере, но рабочий сервер пока не трогали, поскольку хотели как следует протестировать изменения. На следующий день они ответили LMaster–у, который через два дня опубликовал полные данные об обнаруженных уязвимостях на форуме r3al.ru, а ещё через 3 дня продублировал её на "Хабрахабре".