Из-за некорректной настройки PHP-приложения Symphony (которое работало в режиме отладки и «сливало» логи) у стримингового сервиса Last.fm произошла утечка учетных данных, в ходе которой были раскрыты, в том числе, имя пользователя и пароль администратора. С таким доступом злоумышленник мог получить и изменить данные чужой учетной записи Last.fm.

Проблему обнаружили специалисты компании SecurityDiscovery Себастьян Каул и Боб Дьяченко. Именно они заметили, что веб-приложение раскрывало посторонним «страницу PHPinfo и логи профилировщика с учетными данными». Изучив приложение внимательнее, исследователи также заметили, что логи Symfony Profiler содержат имена пользователей, пароли, а также секретные токены нескольких администраторов.

 

«Насколько мы поняли, это была часть панели администратора, позволяющая просматривать и редактировать информацию и детали учетных записей пользователей Last.fm», — объясняет Дьяченко.

Исследователь пояснил журналистам Bleeping Computer, что сейчас он с коллегами изучает неправильно настроенные приложения Sympfony и проводит фингерпринтинг с помощью IoT-поисковиков. В рамках этого проекта и были обнаружены экземпляры, принадлежащие CBS Interactive (компании, которая владеет Last.fm).

Еще на прошлой неделе Дьяченко попросил своих подписчиков в Twitter помочь связаться с кем-нибудь  в CBS Interactive, чтобы уведомить компанию о проблеме. И хотя ответа от компании исследователь так и не получил, проблема в настоящее время уже устранена.

 

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии