«Дыра» в GitHub позволяла получить доступ к чужой сессии на сервисе
Но компания вовремя обнаружила проблему, оперативно её исправив. Правда, из-за этого все пользователи накануне столкнулись с автоматическим выходом из своих аккаунтов.
Пользователи GitHub по всему миру столкнулись со странной ситуаций — зайдя на сервис, они увидели себя разлогиненными. Как оказалось, это было связано с исправлением «дыры» в безопасности сайта.
В официальном блоге GitHub появилась «пояснительная публикация». В ней компания рассказала о обнаруженной проблеме, с помощью которой, в теории, один аутентифицированный пользователь мог получить доступ к чужому сеансу.
Основой уязвимости являлось «состояние гонки при обработке запросов бэкендом». В итоге, из-за ошибки в маршрутизации, сеанс пользователя направлялся в браузер другого пользователя. Это приводило к получению доступа к чужой сессионной cookie.
Специалисты GitHub подсчитали, что с вышеописанная ошибка возникла в примерно 0.001% от всех аутентифицированных сеансов на сайте. Но даже в таком случае это являлось достаточной проблемой, чтобы сбросить вход всех пользователей и исправить уязвимости.
Источник: Блог GitHub
1К открытий1К показов
Компания Group-IB обнаружила данные со 101 134 взломанных устройств в даркнете с сохраненными учетными данными ChatGPT.
Киберугрозы — красный флаг для современного бизнеса. Назвали методы защиты ПО бизнеса от кражи данных и потери работоспособности IT-систем.
Alek OS рассказал, как с развитием технологий изменялись модели и алгоритмы шифрования данных, почему мощность компьютера — основная причина их устаревания и как компьютеры обмениваются ключами дешифровки.
Улучшенные типы и дополнительные утилиты для разработки на typesctipt вместе с types-spring