Сегодня 20 апреля 2024
18+
MWC 2018 2018 Computex IFA 2018
реклама
Теги → аутентификация
Быстрый переход

Кибербезопасность в новых реалиях: будущее цифрового суверенитета России

Начавшийся в 2022 году геополитический кризис, последовавшие за ним беспрецедентные санкции в отношении Российской Федерации и массовый уход зарубежных вендоров резко повысили риски, связанные с применением иностранного софта в бизнесе и государственных организациях. Стала очевидной серьёзная зависимость отечественного IT-рынка от импортных поставок программного обеспечения, влекущих угрозу информационному и технологическому суверенитету страны.

 Главой государства был подписан указ, согласно которому с 1 января 2025 года вводится полный запрет на использование зарубежного софта на значимых объектах критической инфраструктуры. Инициативы правительства РФ в сфере импортозамещения ПО должны обеспечить информационный суверенитет страны, сократить зависимость государства и бизнеса от зарубежных поставок программного обеспечения и стимулировать спрос на национальные продукты (изображение предоставлено компанией «Пассворк»)

Изображение предоставлено компанией «Пассворк»

Ситуация осложнилась с кратным ростом кибератак на органы власти и коммерческие структуры. Если раньше злоумышленниками двигала, как правило, финансовая мотивация, то в 2023 году рекордно увеличилось число политически мотивированных кибератак, направленных на хищение ценных данных либо нанесение ущерба IT-инфраструктуре предприятий, связанных с критической информационной инфраструктурой (КИИ), госсектором и оборонной промышленностью. Изменение ландшафта киберугроз, возросшая активность хактивистов и прогосударственных групп заставили российские власти заняться экстренной проработкой соответствующих мер защиты и ускорением перевода критически важных IT-систем на отечественное ПО с гарантированной поддержкой в течение всего срока его эксплуатации.

В частности, главой государства был подписан указ о мерах по обеспечению технологической независимости и безопасности национальной КИИ. Согласно документу, с 1 января 2025 года вводится полный запрет на использование зарубежного софта на значимых объектах критической инфраструктуры, к ним относятся информационные и телекоммуникационные системы, а также автоматизированные системы управления технологическими процессами (АСУ ТП), которые используются в государственных органах, здравоохранении, на транспорте и в связи, кредитно-финансовой сфере, топливно-энергетическом комплексе и различных отраслях промышленности: атомной, оборонной, ракетно-космической, химической и других.

Предполагается, что данная мера позволит организациям повысить общий уровень защищённости критической инфраструктуры и обезопасит предприятия от санкционных и других рисков.

Поскольку импортозамещение является одной из приоритетных национальных задач, российские разработчики активно запускают проекты миграции с зарубежного софта, чтобы гарантировать стабильную работу отечественных заказчиков в условиях санкционных ограничений и соблюдения требований законодательства. Как хороший пример в сфере информационной безопасности эту инициативу планомерно и уверенно реализует аккредитованная Минцифры IT-компания Пассворк, предлагающая рынку одноимённый продукт для безопасного управления паролями в корпоративной среде, способный заменить такие иностранные менеджеры паролей, как — 1Password, Keepass, LastPass и Bitwarden.

 Корпоративный менеджер паролей Пассворк

Корпоративный менеджер паролей Пассворк

Пассворк выступает в качестве централизованного хранилища паролей, доступ к которым предоставляется сотрудникам в зависимости от занимаемых ими должностей и выполняемых обязанностей. Программный комплекс позволяет создавать стойкие к подбору пароли, хранить их в удобном структурированном виде, легко обмениваться ими и авторизироваться на веб-сайтах в один клик с помощью соответствующего браузерного расширения. Также с помощью продукта можно проводить аудит безопасности паролей, управлять правами доступа, отслеживать все действия пользователей и вносимые ими изменения. Предусмотрена возможность быстрого поиска всех паролей, к которым имели доступ ушедшие из компании сотрудники. Все данные в программе хранятся в зашифрованном виде.

Главными преимуществами менеджера паролей Пассворк являются — открытый для аудита исходный код, который позволяет убедиться, что в продукте нет скрытых закладок и недокументированных функций, и конечно возможность установки на сервер вашей компании с единоразовой оплатой системы. Подписка на обновления и техподдержку в течение первого года предоставляется бесплатно для всех клиентов.

Пассворк включён в единый реестр российского ПО, поддерживает ГОСТ шифрование и доступен для закупок по 44 и 223 ФЗ.

Более подробно с возможностями менеджера паролей Пассворк можно ознакомиться в нашем обзоре программного решения или на их официальном сайте.

Согласно нашей оценке и прогнозам аналитиков, рынок информационной безопасности в России сохранит положительную динамику и продолжит расти как минимум до 2027 года. Его драйверами остаются растущие цифровые угрозы, усиливающиеся кибератаки на российские организации, а также потребность в импортозамещении зарубежных систем ввиду ужесточения законодательства и увеличению внимания регуляторов к использованию отечественного ПО.

Все эти тенденции будут вести к повышению уровня безопасности в российских компаниях и организациях, как в госсекторе, так и бизнесе, а значит и благоприятно влиять на развитие программных решений от отечественных разработчиков, что в свою очередь является позитивными шагами в новое цифровое будущее Российской Федерации.

Кнопка «Войти с Apple» перестала быть обязательной для iOS-приложений, но есть нюансы

Apple последние изменения в правилах App Store затронули также функцию «Войти с Apple». По новым правилам приложения, использующие сервисы авторизации пользователей через сторонние платформы, такие как, Google, Facebook и X (в прошлом Twitter), больше не обязаны предлагать опцию входа через аккаунт Apple. Однако взамен разработчики обязаны предложить пользователям альтернативный сервис авторизации, обладающий определёнными гарантиями конфиденциальности их данных.

 Источник изображения: Apple

Источник изображения: Apple

Ранее правила Apple App Store гласили: «Приложения, использующие сторонние или социальные платформы для входа в систему (например, Facebook Login, "Войти с Google", "Войти с Twitter", "Войти с LinkedIn", "Войти с Amazon" или WeChat Login) для создания или аутентификации основной учетной записи пользователя в приложении, должны также предлагать "Войти с Apple" в качестве эквивалентной опции. Основная учетная запись пользователя — это учетная запись, которую он создает в вашем приложении для целей идентификации, входа и доступа к вашим функциям и сопутствующим услугам».

Теперь приложениям не обязательно предлагать также и «Войти с Apple». Но согласно последним изменениям, необходимо чтобы альтернативный сервис авторизации ограничивал сбор данных только именем и электронной почтой пользователя, позволял скрывать адрес электронной почты при регистрации аккаунта и не отслеживал действия пользователя в самом приложении. Это правило теперь действует во всех странах мира, где доступен Apple App Store.

Важно отметить, что Apple предусмотрела четыре исключения из этого правила:

  • приложение использует исключительно собственные системы настройки учетных записей и входа в систему.
  • приложение является образовательным, корпоративным или бизнес-приложением, которое требует от пользователя входа в систему с существующей учетной записью образовательного или корпоративного учреждения.
  • приложение использует государственную или промышленную систему идентификации граждан или электронный идентификатор для аутентификации пользователей.
  • приложение является клиентом для определенного стороннего сервиса, и для доступа к его содержимому пользователям необходимо напрямую войти в свою почту, социальные сети или другие сторонние аккаунты.

Возникает вопрос: насколько широко доступны сервисы авторизации, соответствующие новым требованиям Apple, кроме самой функции «Войти с Apple»? Вероятно, Apple тщательно продумала каждое слово в этих правилах, чтобы склонить разработчиков использовать функцию «Войти с Apple», несмотря на кажущуюся гибкость формулировок.

Не стоит забывать, что это не первый случай, когда политика Apple App Store вокруг «Войти с Apple» вызывает обсуждения и споры. Когда эта функция впервые была представлена в июне 2019 года, Apple изначально установила строгие правила относительно того, как и когда разработчики должны предлагать её как вариант для авторизации пользователей в приложениях. Однако в ответ на критику компания через несколько месяцев смягчила эти требования, демонстрируя гибкость и внимание к мнению разработчиков. Поступит ли она так же и в этот раз, вопрос остаётся открытым.

Nintendo сделала шаг в будущее без паролей: заработал вход в аккаунт Nintendo через Passkey

Компания Nintendo, одна из лидеров в индустрии игровых консолей, предложила своим пользователям новый уровень безопасности. Теперь каждый пользователь может зарегистрировать до 10 различных Passkeys для своего аккаунта, что обеспечивает удобный и безопасный вход.

 Источник изображения: Nintendo

Источник изображения: Nintendo

Passkey представляют собой инновационную технологию криптографических ключей. Создавая Passkey, пользователь получает два ключа: публичный сохраняется на сервере компании, а приватный — непосредственно на устройстве пользователя. После подтверждения личности оба ключа совмещаются, предоставляя доступ к аккаунту.

Эти ключи позволяют подтверждать личность пользователя с помощью биометрических данных, таких как отпечатки пальцев или Face ID. Для использования Passkey необходимо устройство под управлением iOS 16, iPadOS 16, macOS 13, Android 9 или более новых версий.

Мир кибербезопасности активно движется к отказу от традиционных паролей. Альянс FIDO (Fast IDentity Online — быстрая онлайн-идентификация) разрабатывает стандарты для аутентификации без пароля, а такие технологические гиганты, как Apple, Google и Microsoft, входящие в FIDO, предлагают свои решения в этой области.

Согласно исследованиям компании Digital Shadows, к 2022 году в результате взломов было украдено более 24 млрд учётных данных — на 65% больше по сравнению с 2020 годом. Внедрение системы Passkey может стать ответом на растущую угрозу киберпреступности.

Вышло большое обновление менеджера паролей для бизнеса «Пассворк». Что нового?

Менеджер паролей для бизнеса «Пассворк» не нуждается в представлении (см. наш обзор программы). Продукт ведёт свою историю с 2014 года и за время развития сумел занять прочное место на рынке ПО и завоевать доверие многих компаний, в числе которых — «Ланит», «Транснефть», X5 Retail Group, группа ПИК, «Первый канал», «Промсвязьбанк», ВТБ и многие другие известные организации. Решение востребовано в корпоративной среде, а потому активно совершенствуется разработчиками. Ярким свидетельством этому является релиз «Пассворк 6.0» — крупного обновления менеджера паролей.

 «Пассворк» повышает безопасность при работе с корпоративными паролями

«Пассворк» повышает безопасность при работе с корпоративными паролями

Для начала — немного о функциональных возможностях «Пассворк». О них мы достаточно подробно рассказывали ранее, поэтому остановимся на ключевых особенностях программного комплекса, способного удовлетворять потребности компаний любого масштаба, в том числе территориально распределённых.

«Пассворк» использует защищённые хранилища, хранит пароли от любых систем (веб, серверы, приложения), а также небольшие файлы (ключи, сертификаты) в удобном структурированном виде, поддерживает совместную работу, позволяет настраивать права пользователей, а также отслеживать все действия сотрудников и вносимые ими изменения. Продукт устанавливается на сервер организации и хранит данные в зашифрованном виде, при этом для защиты информации может быть применён алгоритм AES-256 или соответствующий требованиям регуляторов стандарт шифрования ГОСТ. Поддерживается интеграция с Active Directory/LDAP, авторизация с помощью SAML SSO, а также аудит безопасности паролей. «Пассворк» зарегистрирован в реестре отечественного софта и может представлять интерес для организаций, реализующих проекты в сфере импортозамещения ПО. Открытый для аудита исходный код менеджера паролей позволяет убедиться в отсутствии уязвимостей и скрытых функций.

 Встроенные в «Пассворк» средства аудита безопасности позволяют анализировать используемые персоналом пароли и получать своевременные оповещения о старых, слабых и скомпрометированных паролях

Встроенные в «Пассворк» средства аудита безопасности позволяют анализировать используемые персоналом пароли и получать своевременные оповещения о старых, слабых и скомпрометированных паролях

В новой версии «Пассворк 6.0» основной акцент разработчиками был сделан на улучшении пользовательского опыта и расширении возможностей совместной работы с паролями. В частности, в программе появились ярлыки для паролей, предоставляющие пользователям ещё большую гибкость в совместной работе. Больше не нужно создавать дубликаты паролей в разных сейфах — вместо этого можно создать несколько ярлыков в нужных директориях. Если исходный пароль изменится, изменятся и все ярлыки этого пароля. В зависимости от прав доступа пользователи могут просматривать или редактировать пароль через ярлык.

 Ярлыки — новый способ поделиться паролем

Ярлыки — новый способ поделиться паролем

Ещё одна новая функция — отправка паролей без предоставления частичного доступа в сейф. В предыдущих версиях «Пассворк» пользователь всегда получал частичный доступ в сейф, даже если с ним поделились только одним паролем. Теперь, когда пользователи получают доступ к паролю через «Входящие» или ярлык, им предоставляется доступ непосредственно к отправленному паролю без выдачи частичного доступа в сейф. Администраторы всегда видят, у каких сотрудников есть доступ к сейфу, а у каких только к определённым паролям.

 Отправка паролей без частичного доступа в сейф усиливает защиту конфиденциальных данных

Отправка паролей без частичного доступа в сейф усиливает защиту конфиденциальных данных

С выпуском «Пассворк 6.0» разработчики переработали интерфейс настроек LDAP и добавили новые возможности. Теперь для добавления новых учётных записей используется отдельное окно, а пользователи сами при первом входе в систему устанавливают мастер-пароль. В дополнение к этому реализовано обновление данных о пользователях из LDAP в фоновом режиме и добавлены специальные теги для удалённых групп и групп, связанных с ролями. Всё это существенно упростило работу администратора.

 В новой версии менеджера паролей переосмыслена логика управления пользователями

В новой версии менеджера паролей переосмыслена логика управления пользователями

Релиз «Пассворк 6.0» принёс немало других изменений в продукте. В их числе:

  • возможность настраивать права на создание ссылок, ярлыков и отправку паролей для определённых уровней доступа;
  • возможность индивидуальной настройки времени автовыхода из системы при неактивности;
  • возможность индивидуального выбора языка интерфейса;
  • клавиши «Сохранить» и «Отменить изменения» в системных настройках для исключения случайных действий;
  • поддержка дополнительных полей при импорте и экспорте паролей;
  • улучшенное перетаскивание паролей и папок с панелью выбора действий: переместить, копировать или создать ярлык;
  • уведомление администраторов о новых неподтверждённых пользователях.
 Улучшенное перетаскивание — одно из множества полезных изменений в интерфейсе программы

Улучшенное перетаскивание — одно из множества полезных изменений в интерфейсе программы

С полным списком реализованных в продукте изменений можно ознакомиться на сайте passwork.ru/v6-release.

Чтобы обновиться до версии 6.0, необходимо сначала обновить менеджер паролей до версии 5.4, осуществить миграцию данных и затем подтвердить это в клиентском портале «Пассворк». Подробная инструкция по обновлению размещена по адресу passwork.ru/migration-v6-help. Дополнительные сведения о программном решении, а также документацию, можно найти на сайте passwork.ru.

С 1 октября двухфакторная авторизация на «Госуслугах» станет обязательной

Уже 22 млн пользователей подключили двухфакторную авторизацию на портале «Госуслуги», сообщили в Минцифры. Каждый день эту опцию подключают ещё 300–400 тыс. человек, а с 1 октября она станет обязательной для всех.

 Источник изображения: t.me/mintsifry

Источник изображения: t.me/mintsifry

Двухфакторная авторизация — дополнительная степень защиты учётной записи, которая, помимо пароля, требует подтверждения, предоставить которое может только её настоящий владелец. К примеру, это может быть поступающее на привязанный к учётной записи номер телефона SMS-сообщение. Подключить этот способ двухфакторной авторизации можно в личном кабинете «Госуслуг», зайдя в раздел «Профиль» личного кабинета и перейдя последовательно в подразделы «Безопасность» и «Вход в систему». В последнем необходимо выбрать опцию «Вход с подтверждением» и указать номер телефона для привязки к учётной записи — на него будут приходить SMS с одноразовыми кодами.

Помимо SMS-сообщений, дополнительной защитой для входа на «Госуслуги» могут служить одноразовые коды из специальных приложений, а также вход по биометрии. Если привязанный ранее к порталу номер телефона недоступен, указать новый можно в МФЦ. После 1 октября зайти на «Госуслуги» без двухфакторной авторизации не получится.

Создано ПО, способное обмануть систему голосовой аутентификации в 99 случаях из 100

Учёные-компьютерщики из Университета Ватерлоо создали программное обеспечение для дипфейка голосов, позволяющее в 99 % случаев обмануть систему голосовой аутентификации. Всё, что нужно при использовании этого ПО с поддержкой машинного обучения для клонирования голоса — пять минут аудиозаписи голоса человека.

 Источник изображения: uk.pcmag.com

Источник изображения: uk.pcmag.com

Ведущий автор исследования Андре Кассис (Andre Kassis), кандидат наук в области компьютерной безопасности и конфиденциальности из Университета Ватерлоо, объяснил, как работает голосовая аутентификация: «При регистрации с использованием голосовой аутентификации вас просят повторить определённую фразу своим голосом. Затем система извлекает уникальную голосовую подпись (голосовой отпечаток) из этой предоставленной фразы и сохраняет её на сервере <..> При попытке аутентификации в будущем вас попросят сказать другую фразу, а извлечённые из неё характерные особенности сравниваются с голосовым отпечатком, сохранённым в системе, чтобы определить, следует ли предоставлять доступ».

Как сообщается, даже меры противодействия спуфингу, используемые системами голосовой аутентификации, не позволяют заметить подмену, поскольку программа компьютерщиков из Университета Ватерлоо, удаляет маркеры из дипфейкового аудио, которые «выдают, что оно было сгенерировано компьютером». Сделав шесть попыток обойти систему аутентификации, учёные в 99 % добились успеха.

Созданием поддельного голоса для обмана системы голосовой аутентификации никого не удивишь, но разработанное компьютерщиками ПО оказалось настолько эффективным, что профессор компьютерных наук Университета Ватерлоо Урс Хенгартнер (Urs Hengartner) выразил надежду, что компании, полагающиеся на голосовую аутентификацию как на единственный фактор аутентификации, «рассмотрят возможность развёртывания дополнительных или более строгих мер аутентификации».

Google сделала шаг в будущее без паролей и СМС: заработал вход в Google-аккаунт через Passkey

Начиная с сегодняшнего дня, пользователи Google могут отказаться от паролей и кодов двухэтапной аутентификации при входе в свою учётную запись. Решение на основе технологии криптографических ключей Passkeys требует для входа лишь предварительно аутентифицированное устройство, например смартфон.

Passkeys — более безопасная и удобная альтернатива паролям, которую продвигают Google, Apple, Microsoft и другие технологические компании, входящие в FIDO Alliance. Технология позволяет заменить традиционные пароли и SMS-верификацию, с помощью PIN-кода или биометрической аутентификацией на устройстве, например, отпечатком пальца или Face ID. Passkeys не передает биометрические данные Google, или кому-либо ещё, что и обеспечивает безопасность, поскольку нет пароля, который может быть украден.

Функция доступна на устройствах под управлением iOS 16, Android 9 и более новых. При входе в систему с компьютера запрос на проверку биометрии будет отправлен на любой совместимый девайс, связанный с аккаунтом владельца. Если такового под рукой не оказалось, или он утерян, Google позволит получить доступ с помощью опции «Использовать пароль с другого устройства» и деавторизовать ключи со всех аппаратов.

В обозримом будущем аккаунты Google будут продолжать поддерживать существующие методы входа, наряду с Passkeys. Ведь далеко не все люди имеют устройства, поддерживающие биометрию. Но Google планирует поощрять пользователей к переходу уже сейчас и будет тщательно следить за тем, как меняются их привычки для входа в систему.

В декабре прошлого года браузер Google Chrome получил поддержку passkey, но сайты и сервисы, поддерживающие технологию, все еще относительно редки. На специальной странице 1Password собран немногочисленный список. В ближайшее время поддержку должна внедрить и Apple, как один из разработчиков стандарта.

В Google Authenticator появилась долгожданная облачная синхронизация

Предназначенное для двухфакторной авторизации приложение Google Authenticator получило поддержку облачной синхронизации через учётную запись Google. Это означает, что при покупке нового телефона не потребуется отдельной настройки приложения — оно будет готово к работе сразу после установки.

 Источник изображения: security.googleblog.com

Источник изображения: security.googleblog.com

В Google признали, что пользователи просили добавить облачную синхронизацию Authenticator уже не один год. Одноразовые коды авторизации генерировались только на устройстве, и с его потерей пользователи лишались возможности входить в учётные записи, для которых была настроена авторизация через Google Authenticator. В новой версии проблема решена через облачную синхронизацию в аккаунте Google — это, уточнили в компании, повышает удобство и безопасность работы с инструментом. Чтобы включить облачную синхронизацию, нужно установить последнюю версию Authenticator для Android или iOS.

С другой стороны, появление этого механизма может усилить атаки на учётные записи Google — взломав её, можно, получить доступ к множеству сторонних конфиденциальных аккаунтов. В компании уточнили, что облачная синхронизация Google Authenticator является необязательной опцией, тем более, что новых средств защиты учётных записей в самой Google не добавилось. Наконец, в новой версии Authenticator сменился логотип — теперь это звёздочка в фирменных цветах Google.

Двухфакторная авторизация по SMS в Twitter останется доступной только подписчикам Blue

Только пользователи с платной подпиской Twitter Blue сохранят доступ к двухфакторной авторизации через SMS, сообщила администрация платформы. Одной из причин такой меры стали недобросовестные действия некоторых операторов связи.

 Источник изображения: Photo Mix / pixabay.com

Источник изображения: Photo Mix / pixabay.com

Двухфакторная авторизация по SMS станет недоступной для «бесплатных» пользователей Twitter 20 марта, уточнили в компании. Соцсеть предлагает несколько методов дополнительной защиты учётной записи: помимо SMS, это приложения для аутентификации и ключи безопасности. Для пользователей двухфакторная авторизация по SMS предоставляется бесплатно, то есть платит за неё сама Twitter. Поэтому сокращение числа пользователей этой услуги поможет компании уменьшить расходы, что соответствует её нынешнему курсу.

 Источник изображения: twitter.com

Источник изображения: twitter.com

Но дело не только в экономии — дополнительным фактором оказались недобросовестные действия операторов связи. Владелец и глава Twitter Илон Маск (Elon Musk) подтвердил информацию, опубликованную одним из пользователей платформы: некоторые операторы массово регистрируют в соцсети ботов и настраивают для них двухфакторную авторизацию, чтобы искусственно раздувать число SMS. Это «удовольствие» ежегодно обходится Twitter в $60 млн.

Двухфакторная аутентификация на Госуслугах станет обязательной для всех

С 1 марта 2023 года Минцифры начнёт вводить обязательную двухфакторную аутентификацию на сайте государственных услуг. Это, по словам главы министерства Максута Шадаева, позволит повысить уровень безопасности пользовательских аккаунтов.

 Источник изображения: Malte Helmhold/unsplash.com

Источник изображения: Malte Helmhold/unsplash.com

«Мы вводим программу обязательности второго фактора. То есть сейчас, чтобы получить доступ на Госуслуги, достаточно ввести логин и пароль. Мы считаем, что нам нужно обязательно использовать второй фактор для авторизации», — заявил руководитель ведомства представителям СМИ.

Как сообщает «Интерфакс» со ссылкой на слова чиновника, обязательная двухфакторная аутентификация начнёт внедряться поэтапно, соответствующие работы стартуют 1 марта. Вторым фактором защиты помимо пары логин/пароль будет обязательное использование SMS-кода либо другого способа (например, с помощью электронной почты). По словам Шадаева, такая технология позволит повысить защиту учётных записей пользователей, особенно для тех, кто использует простые пароли.

Стоит отметить, что доступ к учётной записи портала госуслуг предоставляет пользователю довольно широкие полномочия вплоть до получения подробной информации о собственности гражданина, его доходах, а также прочих сведений персонального характера.

С 1 июля двухфакторная аутентификация станет обязательной для всех пользователей портала Gosuslugi.ru.

Осенью 2022 года сообщалось, что интеграцию с порталом госуслуг получит сервис «ВКонтакте », а в VK-мессенджер можно будет получать уведомления из государственных ведомств.

Уязвимость в Instagram✴ позволяла обходить двухфакторную аутентификацию Facebook✴

Охотник за программными ошибками (Bug-Bounty Hunter, по аналогии с Bounty Hunter — охотник за головами) с псевдонимом Gtm Mänôz обнаружил проблему в API соцсети Instagram, которая может позволить злоумышленнику запускать брутфорс-атаки и обходить двухфакторную аутентификацию (2FA) в соцсети Facebook, принадлежащей той же компании, Meta Platforms.

 Источник изображения: themerkle.com

Источник изображения: themerkle.com

Пользователь может связать свои учётные записи Instagram и Facebook, добавив в первую уже подтверждённый номер мобильного телефона, связанный с учётной записью Facebook. После ввода номера мобильного телефона Facebook генерирует одноразовый код для подтверждения личности пользователя.

Но ошибка с ограничением числа попыток доступа в Instagram может позволить злоумышленнику управлять неограниченным бот-трафиком, чтобы запустить брутфорс-атаку для подтверждения одноразового PIN-код Facebook, эффективно обходя двухфакторную защиту Facebook.

«Если номер телефона был полностью подтверждён и в Facebook включена двухфакторная аутентификация, то она будет отключена или деактивирована в учётной записи жертвы, — обнаружил Gtm Mänôz. — И, если номер телефона был частично подтверждён (то есть использовался только для 2FA), 2FA будет отменена, а номер телефона будет удалён из атакованной учётной записи».

Охота Gtm Mänôz за ошибками была успешной — на данный момент Meta уже исправила проблему и выплатила ему 27 000 долларов в рамках программы вознаграждения за обнаружение уязвимостей. Всем пользователям рекомендуется незамедлительно обновить приложения Meta до последней версии, чтобы избежать уязвимости.


window-new
Soft
Hard
Тренды 🔥
Не думай о секундах свысока: спустя 26 лет спидраннер побил «невозможный» рекорд прохождения первого уровня Doom II — ушло 100 тысяч попыток 24 мин.
Новая статья: Atom Bomb Baby: рассказываем, почему Fallout — идеальная экранизация видеоигрового материала, и почему этот сериал не стоит пропускать 55 мин.
Bethesda готовит «несколько очень хороших обновлений» для Starfield, а Fallout 5 не в приоритете 3 ч.
Apple откроет сторонним приложениям доступ к NFC 3 ч.
В Dota 2 стартовало сюжетное событие «Павшая корона» с уникальными наградами, новыми «арканами» и комиксом 3 ч.
Связанные одной шиной: «Лаб СП» и «Фактор-ТС» представили отечественную интеграционную платформу Integration Gears 4 ч.
Paradox отказала Prison Architect 2 в досрочном освобождении — релиз отложили ещё на четыре месяца 5 ч.
Kingdom Come: Deliverance 2 переведут на русский, но есть нюанс 7 ч.
Netflix резко нарастила аудиторию и прибыль, запретив совместное использование аккаунтов 7 ч.
Российские студенты победили в чемпионате мира по программированию ICPC 7 ч.
Гиперщит с ИИ: Cisco представила систему безопасности Hypershield 3 ч.
Highpoint представила карту расширения на восемь SSD: до 64 Тбайт со скоростью до 56 Гбайт/с 3 ч.
Китайские экспериментальные лунные навигационные спутники прислали фотографии обратной стороны Луны 3 ч.
Налоговая служба Швеции закрыла 18 дата-центров за незаконный майнинг криптовалют 4 ч.
LG выпустила флагманский саундбар S95TR за $1500 с поддержкой Dolby Atmos и настройкой с помощью ИИ 6 ч.
Seagate заявила, что жёсткие диски с HAMR уже не уступают по надёжности традиционным HDD 7 ч.
Corsair представила обновлённые доступные проводные гарнитуры HS35 v2 для геймеров 7 ч.
Tesla отзовёт все проданные электромобили Cybertruck для замены залипающей педали газа 9 ч.
Galax выпустила полностью белую низкопрофильную GeForce RTX 4060 с крошечным заводским разгоном 10 ч.
Razer представила игровые контроллеры Kishi Ultra и Kishi V2 для смартфонов, планшетов и ПК 10 ч.