Пользователи крупнейшего сервиса сокращения URL Bitly стали жертвой уязвимости, из-за которой были скомпрометированы их учетные записи. В связи с этим компания деактивировала учетные данные пользователей Facebook и Twitter.
В четверг, 8 мая, узнав от сторонних экспертов об уязвимости, команда по безопасности Bitly незамедлительно начала искать возможные векторы потенциальных атак. В результате исследований, длившихся несколько часов, она не обнаружила каких-либо признаков внешнего подключения к базе данных пользователей или несанкционированного доступа к производственной сети или серверам.
Тем не менее, эксперты зафиксировали непривычно большой объем трафика, исходящего из резервного хранилища базы данных, который не был инициирован Bitly. Они предположили, что база данных пользователей была скомпрометирована, и начали предпринимать меры для того, чтобы обезопасить пользователей Facebook и Twitter.
Проверив историю безопасности исходного кода своего репозитория, содержащего учетные данные для доступа к резервному хранилищу базы данных, эксперты обнаружили признаки несанкционированного доступа к учетной записи одного из сотрудников Bitly. В связи с этим они незамедлительно активировали двухфакторную аутентификацию для всех аккаунтов Bitly и начали процесс обеспечения защиты системы от любых дополнительных уязвимостей.
Компания предприняла множество шагов для повышения безопасности, в том числе сменила учетные данные для своих систем хранения и SSL-сертификаты, реализовала шифрование с помощью GPG для всех чувствительных учетных данных и двухфакторную аутентификацию на всех сторонних сервисах, а также обновила приложение Bitly для iPhone, реализовав поддержку обновленных токенов OAuth.
Представители Bitly заявили, что все пароли пользователей являются хешированными. «Если вы зарегистрировались, вошли в систему или изменили свой пароль после 8 января 2014, то ваш пароль был хеширован с помощью BCrypt и HMAC с использованием уникальной соли. До этого он был подсоленным с помощью MD5», - отметили в компании.
Источник: SecurityLab
|