Zagrożenie na portalach

operetka we wtorek 16 sierpnia 2005 o 21⁰¹ napisał(a):

ZAGROŻENIE DLA POCZTY ODBIERANEJ Z POZIOMU WWW
23 lipca na stronach pocztowych portali Onet.pl, WP.pl, Interia.pl,
o2.pl i Gazeta.pl została wykryta luka bezpieczeństwa, która pozwalała
na automatyczne uruchamianie apletów Java u użytkowników, którzy
otworzą e-mail w formacie HTML. Aplety te mogą zostać wykorzystane np.
do phishingu bądź przejęcia konta pocztowego.
http://www.internetstandard.pl/news/news.asp?m=29&id=82059

I jeszcze coś:

KOLEJNA FORMA PHISHINGU
Phisherzy nie śpią. Jak donosi firma Kaspersky Lab, cybeprzestępcy
opracowali nową formę ataku - w wysyłanych do klientów systemu
płatności PayPal mailach proszą o wydrukowanie i przesłanie informacji
o hasłach i numerach kart kredytowych faksem, na darmowy numer w
Stanach Zjednoczonych.
http://www.internetstandard.pl/news/news.asp?m=29&id=82049

wojtzuch w środę 17 sierpnia 2005 o 10⁰⁹ napisał(a):

Reakcja portali

Informacja o występowaniu luki, jej dokładny opis oraz prośba o potwierdzenie przyjęcia zgłoszenia problemu zostały przesłane do wszystkich wymienionych portali dzień po jej wykryciu, tj. 24 lipca 2005.

Portale WP.pl, Interia.pl, o2.pl oraz Gazeta.pl (wszystkie poza Onet.pl) przesłały odpowiedź potwierdzającą istnienie problemu, a w kolejnych dniach wprowadziły odpowiednie poprawki do swoich systemów pocztowych.

Informacja o luce przesłana do portalu Onet.pl spotkała się z krótką odpowiedzią działu Republika WWW (chociaż zgłoszenie było kierowane na adresy portalu i postmastera, tj. onet@onet.pl, bok@onet.pl oraz postmaster@onet.pl), w której można znaleźć, że to nie ten dział administruje pocztą oraz zapewnienie, że zgłoszenie zostało przesłane do działu poczty.

Dział poczty Onet.pl nie przesłał jednak żadnej odpowiedzi potwierdzającej przyjęcie zgłoszenia, a po dwóch tygodniach od jego wysłania luka była nadal obecna. 8 sierpnia zgłoszenie zostało wysłane po raz drugi, tym razem poprzez formularz na stronie kontakt.onet.pl (według polecenia działu Republika WWW).

Do dnia dzisiejszego, tj. 15 sierpnia (tydzień od drugiego zgłoszenia), nie przyszła żadna odpowiedź z działu poczty Onet.pl, która potwierdzałaby jego przyjęcie, a luka nadal występuje.

AKTUALIZACJA (2005-08-16): Onet.pl wprowadził odpowiednią poprawkę.

http://www.futrega.org/etc/javaluka/