Skocz do treści

Tag: haker

CSRF w portalu Samsung

Artem Moskowsky, ukraiński badacz bezpieczeństwa wykrył podatności CSRF w portalu samoobsługi Samsunga pozwalające na przejęcie konta użytkownika. O fakcie poinformował portal ZDNet sam hacker, podobną informację podaje też The Register.  Portal https://account.samsung.com/ pozwala zarządzać urządzeniami mobilnymi użytkownika. Błędy CSRF pozwalały zmienić dane bezpieczeństwa konta (wyłączyć uwierzytelnianie wieloetapowe, zmienić pytanie odzyskiwania hasła) a w rezultacie przejąć konto. Błędy oczywiście załatano, a hacker otrzymał nagrodę w wysokości 13300 USD. Przed błędami CSRF stosunkowo łatwo się ustrzec, pojawiają się niezmiernie rzadko, do tego stopnia, że zostały usunięte z listy OWASP Top Ten w 2017 roku.Jak widać nadal jednak mogą być groźne.