Sebezhetők a népszerű közösségi oldalak

A héten lezajlott két nagy amerikai hackerkonferencián külön témát szenteltek a népszerű közösségi oldalak helyzetének, arra figyelmeztetve az internetezőket, hogy ezen portálok túlontúl sebezhetők.

A Black Hat, valamint a DefCon résztvevői egyaránt beszédeket és illusztrációkat tartottak, amelyek a közösségi oldalak, így például az igen népszerű MySpace jelenlegi helyzetére koncentráltak. A végkövetkeztetés minden esetben ugyanaz volt: a közösségi portálok sebezhetők és nem tudnak védekezni a jól kidolgozott támadások ellen, amelyek az ismert hibákra építenek.

Mindkét találkozó több ezer biztonsági szakember részvételével zajlott, illetve zajlik. A Black Hat szervezői 4 ezerre, a DefCon illetékesei pedig 6800-ra teszik a látogatók számát. Az érdeklődés szintjét jól jelzi, hogy utóbbi helyszínen eltávolították az NBC egyik riporternőjét, miután kiderült, hogy rejtett kamerával rögzíti az eseményeket. A beszámolók és előadások több területet is érintettek, ám a legszélesebb tömegeket valószínűleg a közösségi oldalak sebezhetősége érinti, amely a szakértők szerint nagy veszélyeket hordoz magában.

A MySpace és társai ugyanis több száz, több ezer sebezhetőséget tartalmaznak és pusztán ezek nagy száma miatt eleve kizárható, hogy minden ilyen hibát időben sikerül befoltozni. A sebezhetőségek közül kiemelkedik az úgynevezett "cross-site scripting" amelynek során egyéb weboldalak alkalmazásával kártékony kódot ültetnek a célpontba, kialakítva a jövőbeni támadás sikerét elősegítő körülményeket. Bár a népszerű böngészők fejlesztői folyamatosan javítgatják az ilyen és hasonló jellegű sebezhetőségeket, a teljes biztonságra nincs garancia. Siker esetén pedig a támadók megszerezhetik a felhasználók jelszavait, bejuthatnak a postafiókokba és egyéb személyes adatokra tehetik rá a kezüket.

Az egyik bemutató során sikeresen bejutottak a Gmail szolgáltatás egyik felhasználói fiókjába, kihasználva a nyilvános vezetéknélküli hozzáférés sebezhetőségét és ily módon megszerezve a süti fájlokat. A Google nem kommentálta a bemutatót, mindössze arra tett ígéretet, hogy minden felhasználó számára automatikusan engedélyezik a titkosítást, minimalizálva ezzel a támadók esélyeit.