Pull to refresh

MediaMarkt раскрывает личные данные своих подписчиков

Information Security *
Хочу сразу отметить, что я решил написать этот пост в надежде привлечь внимание к этой проблеме, т.к. техподдержка, в которую я обратился 3 дня назад, до сих пор не закрыла эту дыру.

Предыстория


Не так давно компания MediaMarkt проводила широкую рекламную акцию в СМИ, в которой всем предлагалось поучаствовать в конкурсе эссе, победитель которого получит шанс бесплатно вынести из магазина MediaMarkt любые товары за определенное время. Одним из обязательных условий конкурса была подписка на периодическую рассылку на сайте компании. Для этого необходимо было заполнить небольшой профиль.

Я решил поучаствовать в конкурсе и создал свой аккаунт на сайте, подписался на рассылку.

Читать дальше →
Total votes 66: ↑43 and ↓23 +20
Views 17K
Comments 27

Взлом сервиса Kickstarter

Information Security *

Как стало известно, 12 февраля официальные представители службы охраны правопорядка связались с командой Kickstarter, чтобы сообщить им о взломе их проекта. Некие хакеры получили доступ к персональным данным зарегистрированных пользователей.
Читать дальше →
Total votes 80: ↑53 and ↓27 +26
Views 25K
Comments 22

Обнаруженная брешь позволяет раскрывать ip-адреса клиентов VPN-провайдеров

Information Security *
image

26 ноября специалисты по безопасности VPN-провайдера Perfect Privacy обнаружили в VPN уязвимость, которая может привести к раскрытию ip-адресов пользователей. Атака работает за счёт перенаправления портов. По заявлениям специалистов, уязвимости подвержены все реализации VPN (протоколы IPSec, OpenVPN, PPTP, и другие), и не зависит от операционной системы.

Для успешного осуществления атаки атакующий должен завести аккаунт у того же VPN-провайдера, что и жертва. Затем необходимо узнать выходной ip-адрес жертвы. Часто у VPN-провайдеров используется небольшой пул выходных адресов – их можно перебирать, заманить жертву на специально созданный веб-сайт, что и выдаст её выходной ip-адрес, или брать адреса из торрентокачалки.

Затем атакующий активирует у себя перенаправление портов – при этом от жертвы не требуется никаких действий, и неважно, работает ли у неё такое перенаправление, или нет. И в заключение, жертве необходимо скормить любой ресурс, в url которого указан порт, на который идёт перенаправление.

Технические детали специалисты приводят следующие:
Читать дальше →
Total votes 15: ↑12 and ↓3 +9
Views 20K
Comments 19