Чудеса в решете: данные в браузере утекают через сотни багов

В начале сентября представители интернет-компании Mozilla опубликовали релиз о факте взлома багтрекинга Bugzilla — сервисной платформы для отслеживания ошибок. В результате этой атаки хакеры получили доступ к закрытой корпоративной информации о 185 «непубличных» уязвимостях в браузере Firefox и других продуктах Mozilla. В резюмирующей части заявления разработчики интернет-приложений отметили, что сегодня все проблемы с багами успешно разрешены, и безопасность ресурсов компании находится на должном уровне.

Сервисный веб-ресурс компании Mozilla — багтрекинг Bugzilla — аккумулирует аналитическую информацию по широкому кругу IT-проблем, однако доступ к некоторым сведениям ограничен по соображениям безопасности. И только привилегированный круг пользователей может получать там информацию в полном объеме. Хакерам удалось проникнуть на сервер с такмим закрытими данными и осуществить «слив» в сеть 185 проблем IT-подразделения компании. Видимо, по их замыслу, это должно было нанести бизнесу компании Mozilla серьезный репутационный ущерб. И лишь благодаря верно выбранной PR-стратегии Mozilla смогла достойно держать удар.

Сразу после появления в интернете «сенсации» о многочисленных багах IT-подразделения эксперты Mozilla публично выступили с комментариями по каждому пункту «претензий» к ИБ продукции компании. В частности, сообщалось, что ИБ-специалисты компании Mozilla, расследуя факт взлома, отметили, что на ресурс Bugzilla совершались атаки несколько раз. И самая ранняя из них была 2 года назад. Из 185 «вытащенных из-под замка» проблем — 110, по словам специалистов, никакого отношения к ИБ не имеют вообще, а связаны с проприетарной информацией разработчиков и правовой казуистикой в отношении ПО. Еще 22 уязвимости хотя и были признаны существенными, но вполне разрешимыми в ближней перспективе. А вот действительно критическими было признано 53 бага. Да и то, — к моменту получения злоумышленниками доступа к ним в начале лета — из них оставалось неразрешенных только 10... 

Интересно проследить динамику ликвидации тех самых 10 критичных уязвимостей Mozilla. Итак, 2 бага IT-шники компании устранили менее, чем за неделю после августовского «слива». 5 багов исправляли в течение 36 дней. А каждый из оставшихся 3-х багов удалось исправить в течение почти года — через 131 день, 157 дней и 335 дней соответственно. Несмотря на оперативную ликвидацию брешей, хакерам все-таки удалось воспользоваться одной из них — уязвимостью в PDF.js . Именно с помощью этой уязвимости злоумышленники в течение непродолжительного времени распространяли вредоносные рекламные блоки с экспоитами, с помощью которых похищались персональные данные пользователей. Но и эту «лавочку» Mozilla прикрыла еще в начале августа. В блоге эксперт департамента безопасности компании Mozilla Ричарда Барнса сообщается, что используемая хакерами лазейка была ликвидирована 6 августа 2015 года.

Исследуя причину взлома корпоративного сервера и кражу конфиденциальной информации, специалисты компании Mozilla признали, что инцидент произошел из-за пренебрежения правилами ИБ владельцем одного из привилегированных аккаунтов для учетных записей. Он, например, использовал на разных сайтах только один и тот же пароль. И вот — в результате кибератаки — такой пароль и заполучили злоумышленники. 

Честно признавая утечку закрытых корпоративных сведений о багах, компания Mozilla заверила, что заново пересмотрена вся корпоративная система ИБ — а все уязвимости сегодня исправлены. И чтобы убедиться в этом, пользователям предлагается обновить свой браузер Firefox до новой пропатченной версии 40. Ричард Барнс, в частности, заявил: «Релиз Firefox от 27 августа исправил все уязвимости, о которых хакер узнал и которые он мог использовать во вред пользователям Firefox».

 

Сергей Бендин
10 сентября, 2015

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

01.07.2025
«Национальный мессенджер» закрыл первый миллион
01.07.2025
МТС приготовила всем по маленькому «большому брату»
01.07.2025
NCSC заманивает компании к участию в программе, страдающей из-за недостатка интереса
30.06.2025
Всё связать до 1 июля: «симку», биометрию, «Госуслуги»
30.06.2025
Нейросетям поставили задачу усовершенствовать бюджетный процесс
30.06.2025
Draugnet послужит демократизации отчётности по киберугрозам
30.06.2025
Россиян превращают в дропперов особо изощрённым способом
30.06.2025
Банк России сдал нулевой срез по цифровому рублю
30.06.2025
Половина безопасников хочет приостановить развёртывание GenAI
27.06.2025
«Корыстные цели и низкий уровень правовой культуры». Телеком-лицензии — только в чистые руки

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных