Хакер #305. Многошаговые SQL-инъекции
В начале текущей недели британские СМИ массово сообщили об опасности приложения для видеоконференций Houseparty, которое обрело немалую популярность в последнее время, на фоне пандемии коронавируса, а также из-за повсеместного карантина и самоизоляции. Среди писавших об этом изданий были The Sun, Express, Daily Mail и Mirror Online. Сообщалось, что пользователи Houseparty массово жалуются на взломы аккаунтов в социальных сетях, а также учетных записей Netflix, eBay, Instagram, Snapchat и Spotify. Происходят эти взломы якобы именно после установки и использования Houseparty.
Разработчики Houseparty сразу же опровергли эту информацию, опубликовав заявление в Twitter. Они объясняли, что приложение «не собирает пароли для других сайтов» и, следовательно, никто не может использовать его для извлечения учетных данных от других сервисов.
All Houseparty accounts are safe - the service is secure, has never been compromised, and doesn’t collect passwords for other sites.
— Houseparty (@houseparty) March 30, 2020
С разработчиками согласны и ИБ-специалисты, которые пишут, что никакой опасности приложение не представляет.
Houseparty hasn't hacked your bank account
— Lukas Stefanko (@LukasStefanko) March 30, 2020
-no link evidence
-their services were not compromised (via @houseparty)
Based on Tweets, people installed trending app, but we don't know what else they installed or where else might entered Houseparty credentials that could be reused pic.twitter.com/lWZpJk1jiE
Однако все это не помогло компании избежать PR-катастрофы, так как в сети повсеместно звучат призывы как можно скорее удалять Houseparty.
В итоге разработчики приложения и компания Epic Games, которой оно принадлежит, сообщили, что в настоящее время расследуют происходящее и предполагают, что данная клеветническая кампания может быть оплачена конкурентами с целью нанести Houseparty ущерб. Теперь разработчики предлагают награду в размере одного миллиона долларов за любую информацию об «авторах» данного фейка.
We are investigating indications that the recent hacking rumors were spread by a paid commercial smear campaign to harm Houseparty. We are offering a $1,000,000 bounty for the first individual to provide proof of such a campaign to bounty@houseparty.com.
— Houseparty (@houseparty) March 31, 2020