Хакер #305. Многошаговые SQL-инъекции
Издание Wall Street Journal сообщает, что продавцы на Amazon.com теряют десятки тысяч долларов из-за проблемы повторного использования паролей. По данным юристов, которые сейчас представляют интересы пострадавших, уже более десятка продавцов обратились к ним за помощью, заявляя, что их взломали, а потери от действий злоумышленников составили от 15 000 до 100 000 долларов.
Тем не менее, слово «взлом» не совсем подходит для описания данной проблемы. Нельзя сказать, что хакерам удалось скомпрометировать Amazon. Легитимные пароли используются для доступа к легитимным аккаунтам. Проблема в том, что данные пароли когда-то уже были украдены и попали в многомиллионные базы утечек, которые без особенного труда можно приобрести на черном рынке. А пользователи, невзирая на все предупреждения специалистов, продолжают применять одинаковые пароли для разных сервисов, меняя их слишком редко.
Аккаунты продавцов на Amazon страдают именно из-за повторного использования паролей. Как только злоумышленникам удается подобрать пароль для чужой учетной записи, они изменяют реквизиты продавца, направляя все платежи покупателей на свои счета. Кроме того, мошенники находят старые и более неактивные аккаунты, делают вид, что продают от их лица какие-либо товары с огромной скидкой и просто собирают деньги с доверчивых покупателей.
Основная сложность в данной мошеннической схеме – найти «пару» для украденного пароля. Однако в случае аккаунтов на Amazon.com это не слишком трудно. Дело в том, что email-адрес здесь, как правило, совпадает с именем пользователя, а узнать email-адрес продавца — не проблема, зачастую его можно найти в открытом доступе. После остается лишь поискать совпадения в базе и попробовать подобрать пароль.
Специалисты F-Secure отмечают, что даже продавцы, чей email-адрес неизвестен, все равно уязвимы, так как их «подставляет» сам Amazon. Дело в том, что если на странице регистрации аккаунта ввести почтовый адрес, который уже используется, сайт сообщит об этом. В результате злоумышленники могут перебирать email-адреса по списку, отыскивая зарегистрированных на Amazon пользователей.
Однако эксперты, мнением которых поинтересовались журналисты SecurityWeek, говорят, что винить Amazon не стоит. Они напоминают о том, что пароли для разных сервисов все же должны быть разными, а также не стоит пренебрегать двухфакторной аутентификацией, особенно если речь идет не о простом аккаунте, но об учетной записи, принадлежащей продавцу. Впрочем, Amazon со своей стороны мог бы почаще напоминать пользователям о необходимости смены пароля, а также продвигать двухфакторную аутентификацию более активно.