Украинка помогла хакерам "слить" данные тысяч россиян: эксперт раскрыл детали взлома

Харьковчанка предоставила корпоративные учетные записи, благодаря которым специалисты из "Украинского Кибер Альянса" отыскали критическую уязвимость системы. Жительница Харькова по имени Дарья устроилась на работу в российскую компанию и помогла хакерам завладеть данными тысяч россиян. Об этом сооснователь общественной организации "Украинский Кибер Альянс" (Ukrainian Cyber Alliance) Андрей Баранович сообщил на своей странице в Facebook.

ФОКУС в Google Новостях. Подпишись — и всегда будь в курсе событий. 24 февраля, когда началось полномасштабное российское вторжение в Украину, у Дарьи был назначен первый рабочий день в российской онлайн-школе по изучению английского языка Skyeng.

Украинка не смогла работать, ведь на Харьков обрушились крылатые ракеты РФ, но она успела получить учетную запись в системе. Девушка обратилась к хакерамм и передала доступ к своим аккаунтам. По словам Андрея Барановича, специалисты изучили систему Skyeng и быстро нашли хорошую небезопасную прямую ссылку на объект (Insecure direct object reference или IDOR) — это уязвимость управления доступом в цифровой безопасности.

Она появляется, когда веб-сервис или интерфейс использует идентификатор для прямого доступа ко внутренней базе данных, но не проверяет аутентификацию. "10 тысяч записей дорогих россиян. Даже с юзерпиками.

Видимо, мы там не первые, потому что в июне часть той же самой базы появилась на тематических форумах", — написал Андрей Баранович. — "Мы же в свою очередь, напоминаем о том, что мы базы не продаем, а только показываем. И Дарье спасибо огромное за то, что запустила нас внутрь.