
Samsung.com saytida uchta CSRF zaifligi tuzatildi.
Samsung oʻz veb-saytida bir qator zaifliklarni tuzatdi, ular birgalikda ishlatilganda foydalanuvchilarga akkauntlarni oʻgʻirlashga imkon berishi mumkin edi. Xavfsizlik boʻyicha tadqiqotchi Artem Moskovskiy The Register nashriga koʻra, saytlararo soʻrovlarni qalbakilashtirish, parolni qayta tiklash va akkauntlarni oʻgʻirlashga imkon beradigan uchta zaiflikni aniqladi. Uning soʻzlariga koʻra, muammo Samsung.com saytida foydalanuvchilar parolini unutgan taqdirda javob berishlari kerak boʻlgan xavfsizlik savollariga qanday munosabatda boʻlishlari bilan bogʻliq.
Oddiy sharoitlarda, veb-ilova so’rov u kira oladigan saytdan kelayotganiga ishonch hosil qilish uchun «yo’naltiruvchi» sarlavhasini tekshiradi. Biroq, Samsung.com saytida tekshirish mexanizmi ishlamay qoldi va bu har qanday saytga ma’lumot olish imkonini berdi. Bu hujumchilar tomonidan foydalanuvchi profillarini josuslik qilish, ma’lumotlarni (masalan, foydalanuvchi nomlari) o’zgartirish va hatto parollarni tiklash uchun ikki faktorli autentifikatsiyani o’chirib qo’yish uchun ishlatilishi mumkin. Moskovskiy tushuntirganidek, hujumchi barcha Samsung foydalanuvchi xizmatlariga, maxfiy foydalanuvchi ma’lumotlariga va hatto bulutga kirish huquqini qo’lga kiritishi mumkin.
Tadqiqotchi o’zi aniqlagan zaifliklardan foydalanib, Samsung.com veb-saytida foydalanuvchi tomonidan qo’yilgan xavfsizlik savollarini o’zgartirish va parolni tiklash mexanizmi orqali akkauntni «o’g’irlash» mumkinligini namoyish etdi.
Artem Moskovskiy – zaifliklarni aniqlashga ixtisoslashgan ukrainalik xavfsizlik tadqiqotchisi. U Steam veb-API’dagi zaiflikni aniqlagani uchun Valve’dan 20 000 dollar mukofot oldi.