Video: KHL Fight: Stas VS Voronkov (Decembris 2024)
Iespējams, Vegasas bukmeikeri cītīgi vēro Sietlas Seahawks un New England Patriots šo Super Bowl svētdienu, taču melno cepuru hakeri varētu būt vairāk ieinteresēti iegūt personas datus no fanu Android ierīcēm, šodien brīdināja mobilās drošības firma.
Uzbrucēji varētu sākt uzbrukumus, kas saistīti ar cilvēku vidū, lai izmantotu nopietnu ievainojamību populārajā NFL mobilajā lietotnē, kas pakļauj lietotāju sensitīvus personas datus, kas tiek glabāti Android ierīcēs, Wandera sacīja paziņojumā. Uzņēmuma pārstāvis sacīja SecurityWatch, ka problēma joprojām nav novērsta.
"Ir ironiski, ka NFL lietotne ir tikpat neaizsargāta pret pārtveršanu, ka NFL lietotne ir neaizsargāta pret vidusdaļas uzbrukumu, kas pakļauj lietotāju datus hakeru pārtveršanas riskam, " sacīja Eldars Tūvejs, uzņēmuma izpilddirektors. Vandera.
Nešifrēti zvani noplūda lietotāja informāciju
Lietotne pieprasa lietotājam droši pierakstīties, izmantojot NFL.com akreditācijas datus, taču pēc tam sekundārā nešifrētā API izsaukumā noplūst lietotājvārds un parole, atklāja Wandera pētnieki. Lietotājvārds un e-pasta adrese tiek arī saglabāta nešifrētā sīkfailā tūlīt pēc pieteikšanās un nākamajos zvanos uz nfl.com. Uzbrucējs var izmantot akreditācijas datus, lai nfl.com piekļūtu lietotāja profilam. Profila lapa nav šifrēta, kas nozīmē, ka uzbrucēji var izmantot uzbrukumus cilvēkam, lai pārtvertu datus no lapas.
"Īpaši augsts ir risks šajā laikā, kad lietotāji, iespējams, piekļūs lietotnei pirms sezonas lielākās spēles starp New England Patriots un Sietlas Seahawks, " teikts uzņēmuma paziņojumā.
Šobrīd nav skaidrs, vai uzbrucējam būs redzama saglabātā kredītkartes informācija, jo drošības komanda šīs analīzes laikā nemēģināja no vietnes iegādāties nekādas NFL firmas preces. Nav arī skaidrs, vai tāds pats trūkums pastāv arī citās NFL lietotnēs, piemēram, NFL Now un NFL Fantasy Football.
Pagaidām iegūstiet sava Super Bowl labojumu vietnē, nevis NFL lietotnē. Nepakļaujiet sevi riskam.
Risks lietotājiem ar lietotni
Paroles atkārtota izmantošana joprojām ir liela problēma, tāpēc lietotājiem, kuriem ir tāda pati e-pasta / paroles kombinācija citiem kontiem, šie konti var tikt apdraudēti, brīdināja Wandera. Profila informāciju, piemēram, dzimšanas datumu, pilnu vārdu, e-pasta un pasta adreses, nodarbošanos, TV pakalpojumu sniedzēju, dzimumu un tālruņa numuru var izmantot identitātes zādzībām, pikšķerēšanai un sociālajai inženierijai.
"Dzimšanas datums, vārds, adrese un tālruņa numurs ir precīzi pamatelementi, kas nepieciešami veiksmīgas identitātes zādzības ierosināšanai no NFL faniem, " sacīja Tuvejs.
Ja to pašu paroli izmantojat citās vietnēs, īpaši sensitīvās vietnēs, piemēram, banku un e-pastā, nekavējoties nomainiet tās.
Noziedznieki jau iepriekš ir mērķējuši uz profesionālām sporta vietnēm un lietotnēm. NFL fani tika viltoti ar viltus Facebook lapām, noklikšķinot uz ļaunprātīgām saitēm uz vietnēm, kurās 2013. gadā tiek rādīta Zeus ļaunprātīgā programmatūra. MLB.com ļaundari sniedza viltus antivīrusu nenojaušošajiem apmeklētājiem 2012. gadā. Viltus mobilā lietotne, kas maskējās kā MADDEN NFL 12 spēles sakņotās ierīces, pārtvertas īsziņas un savienotas ierīces ar robottīklu, McAfee pētnieki atrada 2012. gadā.
Kiberuzbrucējiem arī patīk mērķēt uz populāriem notikumiem un ziņu vērtīgiem priekšmetiem, lai izplatītu ļaunprātīgu programmatūru un veiktu pikšķerēšanas uzbrukumus. Šajos uzbrukumos cilvēki gūst labumu no jaunākās informācijas un atjauninājumiem. OpenDNS identificēja vietni, kas mēģina atdarināt BBC News un sniedz nepatiesu informāciju par šā mēneša sākumā notikušajām šaušanām Čārlija Hebdo. Bija vairākas surogātpastu un ļaunprātīgas programmatūras kampaņas, kuru mērķauditorija bija olimpiāde Londonā un Sočos, kā arī iepriekšējās Super Bowl spēles. Vietnes, kas pieder Maiami delfīniem, vismaz nedēļu pirms Super Bowl 2007. gadā rādīja ļaunprātīgu programmatūru.
