Українка допомогла хакерам "злити" дані тисяч росіян: експерт розкрив деталі злому

Мешканка Харкова на ім'я Дар'я влаштувалася на роботу в російську компанію та допомогла хакерам заволодіти даними тисяч росіян. Про це співзасновник громадської організації "Український Кібер Альянс" (Ukrainian Cyber Alliance) Андрій Баранович повідомив на своїй сторінці у Facebook.

24 лютого, коли розпочалося повномасштабне російське вторгнення в Україну, у Дар'ї було призначено перший робочий день у російській онлайн-школі з вивчення англійської мови Skyeng. Українка не змогла працювати, адже на Харків полетіли крилаті ракети РФ, але вона встигла отримати обліковий запис у системі.

Дівчина звернулася до хакерів і передала доступ до своїх акаунтів. За словами Андрія Барановича, фахівці вивчили систему Skyeng та швидко знайшли хороше небезпечне пряме посилання на об'єкт (Insecure direct object reference або IDOR) — це вразливість керування доступом у цифровій безпеці. Вона з'являється, коли вебсервіс або інтерфейс використовує ідентифікатор прямого доступу до внутрішньої бази даних, але не перевіряє автентифікацію.

"10 тисяч записів дорогих росіян. Навіть із юзерпіками. Мабуть, ми там не перші, тому що в червні частина тієї ж бази з'явилася на тематичних форумах", — написав Андрій Баранович. — "Ми ж, зі свого боку, нагадуємо про те, що ми бази не продаємо, а лише показуємо. І Дар'ї дякую за те, що запустила нас усередину. Якщо мародери, військові злочинці та окупанти думають сховатися, то у них не вийде".

У коментарях експерт розмістив заяву від Skyeng в Telegram, компанія заперечує витік даних зі своєї системи і запевняє, що вся інформація користувачів надійно захищена. "Опубліковані новини — просто хибна інформація, що вводить в оману", — зазначається в пості.