Доносить до пользователей азы сетевой безопасности, это достойное и хорошее занятие. Однако учить безопасности других, когда сам не очень хорошо в ней разбираешься, определенно не стоит. Журналисты сайта CNBC загнали себя именно в такую ловушку, когда опубликовали на страницах своего ресурса форму, при помощи которой любой желающий мог проверить надежность своего пароля.
На самом деле, сайт CNBC вряд ли пытался научить пользователей чему-то полезному. Просто автору статьи, написанной по мотивам противостояния Apple и ФБР, пришла в голову мысль, что публикация привлечет больше читателей и соберет больше кликов, если добавить в текст «приманку»: форму, предлагающую любому пользователю проверить надежность своего пароля. По сути, автор CNBC призывал пользователей сделать то, чего нельзя делать вообще никогда: ввести свой пароль не на официальной странице логина, а в каком-то произвольном окошке. По всей видимости понимая, что так поступать нехорошо, автор снабдил форму комментарием мелким шрифтом: «данный инструмент предназначен исключительно для развлекательных и образовательных целей». Также сообщалось, что «пароли не сохраняются».
worried about security? enter your password into this @CNBC website (over HTTP, natch). what could go wrong pic.twitter.com/FO7JYJfpGR
— Adrienne Porter Felt (@__apf__) March 29, 2016
Конечно, этот странный эксперимент не мог не привлечь внимание специалистов по информационной безопасности. Проверкой пароля от CNBC заинтересовались сразу несколько экспертов. Разумеется, выяснилось, что о безопасности журналисты думали в последнюю очередь, а пароли посетителей не просто «сохраняются», но передаются третьим сторонам.
Исследователь Ашкан Солтани (Ashkan Soltani) воспользовался утилитой mitmproxy и выяснил, что все введенные пароли в незашифрованном виде (HTTP) передаются компаниям-партнерам CNBC: фирмам ScorecardResearch и SecurePubAds (они же DoubleClick).
Holy crap: @cnbc now sends your test passwd to all 3rd parties when you hit enter @__apf__https://t.co/rOQuvJ4KE2 pic.twitter.com/diRjcvJ919
— ashkan soltani (@ashk4n) March 29, 2016
Затем к делу подключился один из разработчиков проекта Let's Encrypt. Он обнаружил, что сайт сохраняет все пароли в Google Docs, сразу же, как только ничего не подозревающий пользователь нажимает кнопку «Добавить».
@__apf__ @CNBC @googledocs pic.twitter.com/37iOtvgSxg
— Kane York (@riking27) March 29, 2016
После этих сообщений возмущенное ИБ-сообщество начало апеллировать напрямую к Николасу Уэллсу (Nicholas Wells) – автору статьи, требуя немедленно убрать форму с сайта.
Очевидно, заметив, что намечается скандал, руководство CNBC решилось на отчаянный шаг и попыталось, образно выражаясь, засунуть зубную пасту обратно в тюбик. Никак не отвечая на возрастающую волну критики, с сайта по-тихому удалили всю статью вообще, а не только небезопасную форму, встроенную в текст. Из твиттера CNBC также пропало официальное сообщение о данной публикации, будто ее никогда не существовало. Более того, автор статьи спешно закрыл личный аккаунт в твиттере, сделав его приватным.
Woo! @cnbc pulled their ‘How Secure is your Password’ (that we send all over the web) story https://t.co/rOQuvJ4KE2 pic.twitter.com/Q5Q8LMykT8
— ashkan soltani (@ashk4n) March 29, 2016
Не похоже, чтобы руководство CNBC собиралось приносить официальные извинения пользователям своего сайта. Между тем, аудитория ресурса велика: по данным рекламной платформы Thalamus, на CNBC.com ежемесячно заходят более 6,6 млн уникальных посетителей. Сколько из них поддались на провокацию и ввели свои настоящие пароли в «форму проверки», неизвестно, но специалисты по безопасности настоятельно советуют всем пользователям поменять пароли.
Сетевое сообщество в последние дни называет сайт CNBC не иначе, как «лучшим сайтом для фишинга» и саркастично предполагает, что это был очень оригинальный способ создания словаря для атак.
@ashk4n @packetchef @CNBC @__apf__ best Phishing site ever!
— William Reyor (@OpticOpticfiber) March 30, 2016
@ashk4n @CNBC @__apf__ hell of a way to build an attack dictionary
— doggles (@delayfx) March 29, 2016
Фото: Shutterstock/kpatyhka