Kolejny błąd w zabezpieczeniach Naszej-Klasy

Coraz więcej dostępnych usług i funkcjonalności dostępnych w serwisach internetowych cieszy użytkowników. Niestety, tak jak w przypadku Naszej-Klasy, nowa funkcjonalność to także poważny błąd bezpieczeństwa – alarmuje Dziennik Internautów.

Odkryty przez Internautę błąd, to błąd typu XSS, a jego istnienie potwierdzili niezależni eksperci do spraw bezpieczeństwa. Marcin Wyczechowski - Student Politechniki Łódzkiej –. postanowił przyjrzeć się nowej funkcjonalności na stronach Naszej-Klasy, czyli wyszukiwarce Google. Od razu po wprowadzeniu wyszukiwarki na portal NK pojawiły się obawy, czy mechanizm wyszukiwarki został oddzielony od danych zgromadzonych na kontach użytkowników portalu i ich danych osobowych.

Mimo zapewnień właścicieli portalu o braku możliwości zindeksowania przez Google danych osobowych i prywatnych informacji okazało się, że jest inaczej. Wyniki wyszukiwania nie są w żaden sposób kontrolowane przez skrypty portalu społecznościowego. Marcin Wyczechowski opisuje, iż wystarczy odrobina cierpliwości i chęci, aby tak „dopasować się”. do wyników wyszukiwania, żeby przejąć plik cookie użytkownika i tym samym otrzymać pełny dostęp do jego konta. Czy Nasza-Klasa przestała dbać o bezpieczeństwo swoich użytkowników? - pyta Dziennik Internautów.

Znaleziona luka, pozwala na przejęcie sesji użytkownika, kiedy ten kliknie w odpowiednio spreparowany link. Nasza-Klasa cieszy się zaufaniem, a zatem mało kto będzie spodziewał ataku przez linki, które wyświetlą się w wynikach wyszukiwania. Eksperci spodziewają się także, że wkrótce Naszą-Klasę mogą spotkać ataki podobne do tych, których celem padła strona MySpace –. w kilka godzin ponad 50% użytkowników miało zainfekowane swoje komputery.

Joanna Gajewska - rzecznik prasowy portalu Nasza-Klasa – poinformowała, iż portal usunął wykryty błąd. Eksperci ds. bezpieczeństwa spodziewają się jednak kolejnych ataków, przez częste w portalach o takiej liczbie użytkowników, błędy XSS – czytamy w Dzienniku Internautów.