Доносить до пользователей азы сетевой безопасности, это достойное и хорошее занятие. Однако учить безопасности других, когда сам не очень хорошо в ней разбираешься, определенно не стоит. Журналисты сайта CNBC загнали себя именно в такую ловушку, когда опубликовали на страницах своего ресурса форму, при помощи которой любой желающий мог проверить надежность своего пароля.

На самом деле, сайт CNBC вряд ли пытался научить пользователей чему-то полезному. Просто автору статьи, написанной по мотивам противостояния Apple и ФБР, пришла в голову мысль, что публикация привлечет больше читателей и соберет больше кликов, если добавить в текст «приманку»: форму, предлагающую любому пользователю проверить надежность своего пароля. По сути, автор CNBC призывал пользователей сделать то, чего нельзя делать вообще никогда: ввести свой пароль не на официальной странице логина, а в каком-то произвольном окошке. По всей видимости понимая, что так поступать нехорошо, автор снабдил форму комментарием мелким шрифтом: «данный инструмент предназначен исключительно для развлекательных и образовательных целей». Также сообщалось, что «пароли не сохраняются».

Конечно, этот странный эксперимент не мог не привлечь внимание специалистов по информационной безопасности. Проверкой пароля от CNBC заинтересовались сразу несколько экспертов. Разумеется, выяснилось, что о безопасности журналисты думали в последнюю очередь, а пароли посетителей не просто «сохраняются», но передаются третьим сторонам.

Исследователь Ашкан Солтани (Ashkan Soltani) воспользовался утилитой mitmproxy и выяснил, что все введенные пароли в незашифрованном виде (HTTP) передаются компаниям-партнерам CNBC: фирмам ScorecardResearch и SecurePubAds (они же DoubleClick).

Затем к делу подключился один из разработчиков проекта Let's Encrypt. Он обнаружил, что сайт сохраняет все пароли в Google Docs, сразу же, как только ничего не подозревающий пользователь нажимает кнопку «Добавить».

После этих сообщений возмущенное ИБ-сообщество начало апеллировать напрямую к Николасу Уэллсу (Nicholas Wells) – автору статьи, требуя немедленно убрать форму с сайта.

Очевидно, заметив, что намечается скандал, руководство CNBC решилось на отчаянный шаг и попыталось, образно выражаясь, засунуть зубную пасту обратно в тюбик. Никак не отвечая на возрастающую волну критики, с сайта по-тихому удалили всю статью вообще, а не только небезопасную форму, встроенную в текст. Из твиттера CNBC также пропало официальное сообщение о данной публикации, будто ее никогда не существовало. Более того, автор статьи спешно закрыл личный аккаунт в твиттере, сделав его приватным.

Не похоже, чтобы руководство CNBC собиралось приносить официальные извинения пользователям своего сайта. Между тем, аудитория ресурса велика: по данным рекламной платформы Thalamus, на CNBC.com ежемесячно заходят более 6,6 млн уникальных посетителей. Сколько из них поддались на провокацию и ввели свои настоящие пароли в «форму проверки», неизвестно, но специалисты по безопасности настоятельно советуют всем пользователям поменять пароли.

Сетевое сообщество в последние дни называет сайт CNBC не иначе, как «лучшим сайтом для фишинга» и саркастично предполагает, что это был очень оригинальный способ создания словаря для атак.

Фото: Shutterstock/kpatyhka

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

    • 4 комментария к записи Урок безопасности от новостного сайта закончился полным провалом
    Подписаться
    Уведомить о
    4 комментариев
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии