Хакер #305. Многошаговые SQL-инъекции
Создатели браузера Blisk, построенного на Chromium и ориентированного на разработчиков (с поддержкой продвинутых инструментов разработчика, возможностей предварительного просмотра, а также с инструментами совместной работы над проектом), допустили утечку пользовательских данных, случайно оставив без защиты сервер Elasticsearch.
На прошлой неделе специалисты компании vpnMentor опубликовали отчет, посвященный найденной проблеме. Дело в том, что исследователи обнаружили в открытом доступе незащищенный сервер Elasticsearch и личные данные тысяч веб-разработчиков, зарегистрированных на сайте и в браузере Blisk. В общей сложности В найденная БД содержала примерно 2,9 миллиона записей и насчитывала 3,4 ГБ данных. Судя по всему, данные представляли собой логи того, какие действия разработчики предпринимали внутри браузера, включая регистрацию профилей или приглашение друзей. Помимо прочего, утекли email-адреса и данные user-agent.
Как выяснилось, утечка произошла еще в начале декабря 2019 года, и авторы Blisk устранили проблему сразу же, как только узнали о ней.
Теперь создатели браузера успокаивают пользователей и сообщают, что утечка не коснулась конфиденциальной информации: паролей, финансовой и личной информации, такой как имена, номера телефонов и финансовые данные. Впрочем, эксперты vpnMentor отмечают, что утечка все равно может быть полезна злоумышленникам для таргетированных атак на разработчиков и для настройки эксплоитов.