Skocz do treści

CSRF w portalu Samsung

Artem Moskowsky, ukraiński badacz bezpieczeństwa wykrył podatności CSRF w portalu samoobsługi Samsunga pozwalające na przejęcie konta użytkownika.

O fakcie poinformował portal ZDNet sam hacker, podobną informację podaje też The Register

Portal https://account.samsung.com/ pozwala zarządzać urządzeniami mobilnymi użytkownika.

Błędy CSRF pozwalały zmienić dane bezpieczeństwa konta (wyłączyć uwierzytelnianie wieloetapowe, zmienić pytanie odzyskiwania hasła) a w rezultacie przejąć konto.

Błędy oczywiście załatano, a hacker otrzymał nagrodę w wysokości 13300 USD.

Przed błędami CSRF stosunkowo łatwo się ustrzec, pojawiają się niezmiernie rzadko, do tego stopnia, że zostały usunięte z listy OWASP Top Ten w 2017 roku.
Jak widać nadal jednak mogą być groźne.

Opublikowany wOstrzeżenia i akcje informacyjne