Перейти к содержанию
Авторизация  
душман

Сайты под управлением Anchor CMS выдают пароли к базам данных


Рекомендуемые сообщения

Web-сайты под управлением Anchor CMS могут выдавать пароли своих баз данных в общественно доступных логах. Проблема была обнаружена голландским исследователем безопасности Тижме Гоммерсом. По его словам, злоумышленник может пройти по ссылке site-name.com/anchor/errors.log и загрузить логи ошибок, которые в некоторых случаях содержат пароли БД в незашифрованном виде.

По данным системы для поиска исходного кода PublicWWW, в настоящее время порядка 500 сайтов под управлением Anchor CMS легко находятся online по атрибуту meta name. Портал Bleeping Computer загрузил логи ошибок и действительно обнаружил среди них пароли баз данных некоторых сайтов из поисковой выдачи PublicWWW.

Предполагается, что файл errors.log должен быть защищен, однако в дефолтных установках Anchor CMS доступ к нему открыт. Пользователи даже могут не знать важности файла, поскольку в документации Anchor CMS нигде не сказано о необходимости закрыть к нему публичный доступ. Однако дело даже не в отсутствии у файла errors.log надлежащей защиты. Система управления контентом в принципе не должна выдавать пароли БД в логах ошибок.

Как бы то ни было, Гоммерс не намерен сообщать о проблеме разработчикам Anchor CMS. «Я считаю, что это больше проблема DevOps», – заявил исследователь. По его мнению, в первую очередь сами владельцы сайтов должны позаботиться о закрытии доступа к errors.log.

DevOps – набор практик, нацеленных на активное взаимодействие специалистов по разработке со специалистами по информационно-технологическому обслуживанию и взаимную интеграцию их рабочих процессов друг в друга.

Поделиться сообщением


Ссылка на сообщение

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти
Авторизация  

  • Похожий контент

    • От душман
      Огромная база данных, содержащая электронные адреса, незашифрованные пароли и частичные номера кредитных карт, оказалась на бесплатном публичном хостинге.
      В общей сложности 41 826 763 уникальных пароля и электронных адресов были загружены на анонимный хостинговый сервис kayo.moe (755 файлов размером 1,8 ГБ). Оператор сервиса отправил БД исследователю безопасности Трою Ханту.
      Судя по формату данных, Хант предположил, что они были подготовлены для использования в атаке, известной как credential stuffing.
      Более 91% утекшей информации уже есть в управляемом Хантом сервисе Have I Been Pwned, позволяющем пользователям узнавать, были ли взломаны их учетные записи. Определить источник утечки по именам файлов невозможно, так как они были обфусцированы, вероятно, в процессе загрузки на kayo.moe.
      Credential stuffing (вброс регистрационных данных) – вид кибератаки наподобие брутфорса. Отличается от последнего тем, что перебор вариантов осуществляется не по словарю или спискам часто используемых логинов и паролей, а по заранее приобретенной базе похищенных данных.
    • От Ippolitovich
      В сентябре прошлого года компания Apple представила беспроводное зарядное устройство AirPower, особенностью которого должна стать возможность подзарядки одновременно трёх гаджетов. Изначально в Apple заявляли о намерении начать продажи AirPower в 2018 году, но новинка до сих пор не появилась на рынке. Теперь стали ходить слухи, что проект и вовсе может быть свёрнут.
       


      Дело в том, что на прошедшей 12 сентября презентации новейших смартфонов iPhone Xs и Xs Max, а также часов Watch Series 4 о станции AirPower не прозвучало ни слова. Более того, сетевые источники заметили, что с сайта «яблочной» империи исчезли все упоминания об AirPower.
      Минувшим летом ресурс Bloomberg сообщал, что продажи AirPower должны начаться в третьем квартале текущего года. Но этот период подходит к концу, а о выходе зарядной станции на рынок ничего не слышно.
       


      Наблюдатели делают вывод, что Apple могла отложить проект AirPower в долгий ящик или даже свернуть его из-за возникших сложностей. Одной из проблем ранее называлась необходимость применения большого числа компонентов для обеспечения одновременной зарядки разных гаджетов независимо от их расположения на поверхности станции.
      Сама «яблочная» империя ситуацию никак не комментирует. 
    • От Ippolitovich
      Исследование, проведённое «Лабораторией Касперского», говорит о том, что кражи и утечки данных в нашей стране зачастую оборачиваются увольнениями сотрудников пострадавших компаний.
       


      По статистике, за последний год проблема утечки конфиденциальной информации затронула треть — 32 % — российских компаний. При этом значительную долю скомпрометированных сведений (40 %) составили личные данные клиентов и сотрудников компании.
      Понятно, что такие инциденты наносят серьёзный удар по бизнесу и репутации пострадавших компаний. Кроме того, подобные атаки оборачиваются серьёзными финансовыми потерями. Так, каждой третьей компании пришлось заплатить компенсации пострадавшим клиентам. Каждая четвёртая организация сообщила, что после инцидента у неё возникли проблемы с привлечением новых клиентов. А каждая пятая была вынуждена заплатить штраф.
       


      Поэтому неудивительно, что утечки конфиденциальной информации приводят к увольнениям сотрудников IT-подразделений. В частности, чаще всего из-за подобных кибератак работы лишаются руководители IT-отделов — в 31 % случаев. Каждая четвёртая компания вынуждена расстаться со специалистами, не имеющими никакого отношения к IT. А в 9 % случаев работу теряют самые высокопоставленные сотрудники, в частности, генеральные директора.  В целом, каждая третья утечка данных в России оборачивается увольнениями.
    • От Ippolitovich
      17 сентября будет представлен новый продукт Xiaomi под брендом Huami. Вероятнее всего, это будут либо умные часы, либо трекер активности.
       
       
       

      На данный момент Xiaomi занимает второе место на рынке носимой электроники, и четвёртое — на рынке умных часов, и не в последнюю очередь благодаря продажам моделей Huami Amazfit. Так что новый продукт в любом случае будет популярным, каким бы его не представили.
       

    • От Ippolitovich
      В четвёртом квартале 2018 года в России будет создан портал, который позволит гражданам получать информацию об использовании кем-либо их личных данных. Об этом сообщает ресурс «Известия» со ссылкой на паспорт правительственной программы «Цифровая экономика». В документе указано, что с помощью этого же портала граждане смогут запретить использование их данных. Следует отметить, что введение портала в эксплуатацию состоится годом позже.
       


      В пресс-службе Роскомнадзора рассказали «Известиям», что создание портала находится на начальном этапе. Пока уточняются вопросы по поводу того, как именно будут информироваться граждане об использовании их данных, и будет ли портал государственным.
      Создание портала будет способствовать более деликатному обращению компаний с данными пользователей, отметил руководитель Zecurion Analytics Владимир Ульянов. Сейчас, как правило, персональные данные начинают обрабатывать, если пользователь подписался на какую-нибудь рассылку, так как пункты об обработке личной информации и подписке на получение писем объединяются отправителем рассылки в один.
      В свою очередь, директор департамента информационной безопасности банка «Открытие» Владимир Журавлев высказал мнение, что для концентрации информации об обрабатываемых персональных данных на одном портале будет необходимо провести огромную работу. В частности, всем компаниям и учреждениям, которые обрабатывают данные, будет необходимо доработать свои системы, чтобы подключиться к единой.
×