$650 за баг: уязвимость в аутентификации дорого стоила компании
Эхтешам Уль Хак, аналитик по кибербезопасности из Пакистана, обнаружил уязвимость в веб-приложении, позволяющую обойти аутентификацию на основе одноразовых паролей (OTP), и заработал на этом $650. Михаил Спицын, киберэксперт лаборатории стратегического развития продуктов кибербезопасности компании «Газинформсервис», подчёркивает, что этот случай демонстрирует необходимость комплексной защиты, особенно при использовании OTP.
В ходе тестирования на проникновение для частного клиента Хак выявил несколько уязвимостей низкой и средней степени риска, а также обнаружил потенциальную проблему с захватом субдомена (вне области тестирования). Основное внимание он уделил механизму OTP-аутентификации, используя Burp Suite для перехвата и анализа запросов.
«Вводя неверный OTP, Хак наблюдал стандартный ответ сервера об ошибке (400 Bad Request). Затем он подменил этот ответ на успешный ответ (200 OK) из предыдущей успешной попытки входа. Эта манипуляция позволила ему обойти проверку OTP и получить доступ к системе без корректного кода. После документирования методики эксперт отправил подробный отчёт команде разработчиков и вскоре получил вознаграждение в размере $650», — пояснил Михаил Спицын, — «Фаззинг неверных значений OTP позволил обнаружить возможность подмены ответа сервера, что дало полный обход механизма одноразовой аутентификации».
Для защиты корпоративных сетей от подобных атак киберэксперт компании «Газинформсервис» рекомендует комплексный подход: «Чтобы в корпоративной сети исключить возможность обхода проверки OTP через манипуляцию ответом, нужно внедрить комплекс мер на уровне приложения, инфраструктуры и процессов. Обязательно весь трафик между клиентом и сервером должен идти по https, и нужно внедрить защиту от фаззинга: блокировку после множества неудачных входов с одного IP или учётной записи, а также вводить дополнительные проверки, в том числе 2FA. Рекомендую использовать современную платформу мониторинга подозрительной активности с расширенными возможностями. Такой платформой является решение Ankey ASAP с встроенными модулями поведенческой аналитики, которое отправляет уведомления об обнаруженных аномалиях в корпоративной сети, после чего оператор смог бы исключить возможность "успешной" подмены ответа сервером, разорвав цепочку атаки».
Шифровальщик Anubis обновился, добавив функцию вайпера – полного уничтожения файлов жертвы. Даже выплата выкупа не гарантирует восстановление данных. Как отмечает Сергей Полунин, руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис», Anubis демонстрирует новый тренд: киберпреступники не ограничиваются одним типом атаки, а комбинируют их, дополняя шифрование полным уничтожением информации. Появление в даркнете конструкторов вредоносного ПО усиливает эту тенденцию.
В ночь на 18 июня 2025 года иранская криптовалютная биржа Nobitex подверглась разрушительной кибератаке, за которой стоит группировка хакеров Predatory Sparrow. Руководитель GSOC компании «Газинформсервис» Александр Михайлов предупредил, что за подобными атаками не всегда стоят финансовые мотивы — данный случай демонстрирует политическую мотивацию.
Интеграция OneDrive в Windows 10 и 11 привела к росту популярности Microsoft 365 и к увеличению количества пользователей, хранящих данные в облаке. Однако недавно достоянием общественности стал серьёзный случай потери данных: пользователь потерял фотографии за 30 лет из-за блокировки учётной записи OneDrive. Как объясняет Александр Катасонов, инженер-аналитик компании «Газинформсервис», полная зависимость от облачных сервисов, таких как OneDrive, чревата серьёзными рисками.
Критическая уязвимость CVE-2024-12168 в Windows-версии «Яндекс Телемоста» вновь подчёркивает важность многоуровневой защиты, предупреждает Андрей Жданухин, руководитель группы аналитики L1 GSOC компании «Газинформсервис».
Хакерская АРТ-группировка Team46 (TaxOff) использует уязвимость нулевого дня в Google Chrome (CVE-2025-2783) для проведения изощрённой фишинговой кампании. Александр Катасонов, инженер-аналитик компании «Газинформсервис», отмечает, что расследованная атака — это яркий пример того, как APT-группы комбинируют социальную инженерию и технические уязвимости для достижения своих целей.
Используя ажиотаж вокруг новой ИИ-модели Sora от компании OpenAI, киберпреступники распространяют фишинговый сервис генерации видео через GitHub, предупреждает Ирина Дмитриева, киберэксперт компании «Газинформсервис». Злоумышленники маскируют вредоносный файл 'SoraAI.lnk' под легальный дистрибутив. Конечная цель – кража данных, включая учётные данные браузера, конфигурации системы и личных файлов, что может привести к целенаправленным атакам.
В прошлом году эксперты в рамках проекта «ИБ-пророк. Когда сходятся звёзды: прогнозы лидеров инфобеза»* предсказывали появление новых схем мошенничества, включая голосовые дипфейки, — и теперь эти прогнозы сбываются. Злоумышленники звонят россиянам под видом соцопросов, чтобы записать их голос и создать поддельные аудио. Но это лишь один из сценариев. Какие ещё угрозы предвидели специалисты?
