Ráérősen bánik a biztonsággal a Pinterest

A Pinterest nem kapkodta el a szolgáltatását érintő egyik sérülékenységről szóló beszámolójának közzétételét. Szerencsére a hibajavítás sokkal jobban ment.
 

A 2010-ben útjára indult Pinterest közösségi képmegosztó napjainkban milliók körében örvend nagy népszerűségnek, így érthető, hogy manapság már nem tud elbújni a fekete- és fehérkalapos hackerek szúrós tekintete elől. Jó példát szolgáltat minderre annak a sebezhetőségnek a története is, amelyre idén januárban bukkant egy biztonsági kutató. A történetnek hamar vége lett volna, ha a kommunikációba nem csúszik hiba. 

Több hónapos huzavona

Benjamin Kunz Mejri, a Vulnerability Lab kutatója az év elején a Pinterest védelmi képességeit vizsgálta. A munkája során egy biztonsági résre lett figyelmes, amelynek technikai részleteit azonnal megosztotta a Pinterest üzemeltetőivel. 

Azt semmiképpen nem lehet mondani, hogy a közösségi oldal fejlesztői félvállról vették volna a bejelentést, hiszen két hét alatt gyökerestől megszüntették a problémát, javították a hibát. Azonban eddig ismeretlen okok miatt a sérülékenységről csak a múlt héten adott hírt a Pinterest, ami felkeltette a nemzetközi sajtó érdeklődését. Biztonsági szempontból viszont mindenképpen meg kell jegyezni, hogy ez a helyzet még mindig sokkal jobb, mintha a hibajavítások elkészítése tartott volna eddig. 

A napvilágra került információk szerint a sérülékenység az elektronikus levelek esetenkénti nem megfelelő kezelésével, illetve különféle validációs hiányosságokkal volt összefüggésbe hozható. Egész pontosan a Pinterest API-jához tartozó felhasználói (User Profile) sémában lévő "contact_name" értékének speciális összeállításával lehetett megtalálni azt a kiskaput, amin keresztül aztán komolyabb károkozásokat lehetett végrehajtani. A támadók felhasználói e-maileket manipulálhattak, és kártékony scripteket helyezhettek el azokban.  Miután ezt megtették, akkor különféle pineket tudtak küldözgetni a felhasználóknak, munkamenetek felett vehették át az irányítást, adathalász támadásokat indíthattak vagy webes átirányításokat eszközölhettek. Arról nincsenek hírek, hogy ilyen károkozások bekövetkeztek volna, vélhetőleg a Benjamin Kunz Mejri féle felfedezésre még időben került sor. 

Az irány jó

A Pinterest is érzi, hogy a biztonság területén is meg kell felelnie azoknak az elvárásoknak, amiket a mind nagyobb felhasználói bázis teremt. Ez azonban nem megy egyik napról a másikra, de az irány jónak tűnik. Korábban a közösségi oldal üzemeltetői mindössze egy pólót ajánlottak azoknak a biztonsági kutatóknak, akik sebezhetőségeket tártak fel a rendszerében. Aztán a Pinterest illetékesei is rájöttek arra, hogy ez kevés, így elindítottak egy jutalmazási programot, melynek keretében 25-200 dollárral honorálják a hibabejelentőket. Nyilván ezek az összegek a jövőben emelkedni fognak, hiszen megfigyelhető, hogy a többi, hasonló célokat szolgáló program is mind bőkezűbben bánik a díjazásokkal. Mindezek mellett fontos lépés volt a Pinterest részéről, hogy idén márciusban - hosszú várakozás után - végre teljes körűen átállt a HTTPS-alapú kommunikációra.