В воскресенье на популярном российском ресуре «Хабрахабр» было опубликовано сообщение «Securelist.com — XSS и SQL Injection уязвимости». В нём автор описал найденную им XSS-уязвимость в русской версии нашего портала.
Вчера вечером все зарегистрированные пользователи securelist.com получили от нас сообщение о том, что их существующие пароли были изменены и им всем были сформированы новые пароли. Это было одним из проведенных нами действий по устранению последствий обнаружения XSS-уязвимости.
Прочие действия включали в себя комплекс мер, направленных не только на техническую реализацию исправлений, но и на дополнительный анализ сайта с целью предотвращения других возможных проблем.
В настоящий момент обнаруженная уязвимость нами полностью исправлена.
Рассматривая хронологию событий, мы считаем необходимым уточнить, что уязвимость была исправлена нами еще 19 октября, однако исправленный код не был опубликован на «боевом» сервере, так как не были закончены дополнительные тесты. После публикации подробностей об обнаруженной уязвимости на «Хабре», вечером воскресенья, 25 октября, нам пришлось форсировать процесс и опубликовать изменения тогда же.
Детальный timeline инцидента следующий:
- 18 октября мы получили уведомление от пользователя.
- 19 октября исправления были внесены, но не опубликованы.
- 20 октября наши представители ответили автору на его сообщение.
- 22 октября автор публикует статью о данных проблемах на сайте r3al.ru (http://r3al.ru/index.php?showtopic=6588&st=0&p=24553), в которой он подчеркивает, что уязвимость до сих пор не закрыта.
- 25 октября выходит публикация на «Хабре».
Разумеется, мы бы могли сейчас написать очередные истины о том, что XSS-уязвимости являются наиболее распространенными в Сети, что их находят практически у всех и постоянно, что мы всегда приветствуем любую помощь в обнаружении подобных проблем со стороны исследователей и уделяем повышенное внимание проблемам безопасности ресурсов.
Но не будем. Или не сейчас.
В комментариях на «Хабре» ряд читателей заметил, что действия LMaster могут быть признаны нарушением ряда статей Уголовного Кодекса РФ и что он может быть привлечен к ответственности.
Это действительно так, и для этого есть дополнительные основания.
В первую очередь то, что он, обнаружив уязвимость, не стал сразу в этот же момент уведомлять нас о ней. Вместо этого он воспользовался данной уязвимостью для получения неавторизованного доступа. Об этом он пишет сам:
«Не долго думая, я вставил сниффер, прокомментировал несколько блогов и стал ждать. Сниффер висел на сайте около месяца. За это время я смог перехватить 91 аккаунт к сайту».
Вызывает вопросы и желание автора «получить свои 15 минут славы», опубликовав информацию о неисправленной уязвимости. Общепринятая в сообществе практика: если уж ты действительно whitehat и сообщил о проблеме вендору, то координируй и дальнейшие действия с ним.
Что интересно, это не первый подобный случай: похоже, что в июле этого года, точно по такой же схеме автор (LMaster) опубликовал информацию о неисправленной XSS-уязвимости в Яндексе (https://r3al.ru/index.php?showtopic=5890).
Ко всему прочему, мы обнаружили, что пользователь, известный как LMaster, является давним и активным участником «Антивирусной Школы», еще одного открытого проекта ЛК, в котором участвуют школьники и студенты.
Мы ожидали более этичного поведения от людей, которые являются нашими регулярными читателями.
Несмотря на то, что формально он нарушил закон, тяжелых последствий это не повлекло, и мы не планируем ответных юридических действий в этот раз.
Кроме того, в действиях данного человека мы увидели и желание помочь, однако, как указано выше, это было сделано не совсем корректно. Ему следовало сразу при обнаружении уязвимости (еще в сентябре) связаться с нами. Если он хотел помочь нам с проведением дополнительных исследований и оценкой рисков уязвимостей, то делать это можно было, только получив наше на то согласие.
В одну реку не войти дважды