Хакер #305. Многошаговые SQL-инъекции
Разработчики мессенджера для обмена зашифрованными сообщениями UseCrypt Messenger подали иск против польского ИБ-исследователя Томаша Зелински (Tomasz Zieliński), редактора блога Informatyk Zakładowy. Дело в том, что осенью 2020 года Зелински опубликовал в блоге статью, в которой рассказал об уязвимости в механизме приглашения пользователей.
Исследователь обнаружил, что в некоторых случаях, когда пользователи UseCrypt Messenger хотят пригласить друга в приложение, оно использует небезопасный домен (autofwd.com) для рассылки таких инвайтов. К тому же, помимо работы через HTTP, сайт AutoFWD.com был уязвим и для SQL-инъекций и XSS, что позволяло любому желающему захватить сайт, а затем прочитать или подделать приглашения.
Хотя осенью разработчики сайта AutoFWD.com признали, что исследователь прав, а в итоге вообще закрыли ресурс, теперь Зелински вскоре получил опровержение от V440 SA, юридического лица, стоящего за созданием UseCrypt Messenger.
В своем сообщении компания утверждала, что исследование специалиста содержало «ложную информацию». V440 SA заявила, что их приложение не использует AutoFWD.com для обработки приглашений, а вместо этого полагается на собственное решение, размещенное на get.usecryptmessenger.com.
Зелински пишет, что разработчики UseCrypt лукавят: уже после публикации его исследования они тихо внесли исправления в мессенджер, удалив AutoFWD.com из механизма обработки приглашений. Теперь же они пытаются все опровергнуть, хотя эксперт заранее уведомил компанию о проблемах и придерживался принятых в таких случаях правил.
Ситуация окончательно обострилась в марте 2021 года, когда Зелински сообщил в Twitter, что V440 SA подала на него в суд и теперь пытается заставить удалить статью.
Co jakiś czas z ważnych powodów proszę Was o RT i to jest właśnie ten przypadek. Chciałbym, aby możliwie daleko poniosła się informacja, że wydawca komunikatora #Usecrypt pozwał mnie w procesie cywilnym o zaniechanie naruszeń dóbr osobistych i usunięcie skutków naruszenia 1/6
— Informatyk Zakładowy (@InfZakladowy) March 14, 2021
По информации местного новостного ресурса Puls Biznesu, V440 SA также подала иски против двух других польских ИТ-блогов (Niebezpiecznik и Zaufana Trzecia Strona), утверждая, что они и Informatyk Zakładowy являются «организованной преступной группой» и были в сговоре.
Авторы блогов выпустили совместное заявление (1, 2, 3), в котором рассказывают, что компания просто пытается запугать их и подвергнут цензуре, вынудив удалить неугодные ей материалы о UseCrypt Messenger.
«Запросы на удаление статей, требования извинений и другие послания от юридических фирм, адресованные нашим редакторам, не заставят нас перестать интересоваться тем или иным вопросом», — заявляют исследователи.