Sarahah

Theo những gì có thể đọc được trên trang The Next Web, một nhà nghiên cứu người Anh đã báo cáo rất nhiều lỗi bảo mật trong ứng dụng Sarahah, vốn là cơn thịnh nộ của thanh thiếu niên. Sarahah, trong tiếng Ả Rập, có nghĩa là trung thực. Và mặc dù nhiều người đang sử dụng ứng dụng này để quấy rối hoặc bắt nạt, nhưng mục đích của ứng dụng hoàn toàn ngược lại: để khen ngợi đồng loại của chúng ta. Các vấn đề bảo mật mà họ đề cập chỉ giới hạn ở phiên bản dành cho máy tính để bàn của ứng dụng Sarahah, phiên bản di động của ứng dụng này hiện miễn phí.

Rất nhiều lỗi gây ra lỗi cho phiên bản web của Sarahah

Scott Helme, một nhà nghiên cứu, đã phát hiện ra rằng tính năng bảo vệ chống vi-rút CSRF trên trang web của Sarahah cực kỳ dễ bị phá vỡ. Vi-rút CSRF cực kỳ có hại và nguy hiểm, có thể kiểm soát tài khoản của chúng tôi, thực hiện các hoạt động không liên quan đến việc sử dụng của chúng tôi. Helme giải thích rằng kẻ tấn công có thể sử dụng tài khoản của chúng tôi để đánh dấu các tài khoản không xác định khác nhằm thu lợi về mặt tài chính.

Ông cũng chỉ ra rằng vào tháng 8 năm ngoái, một nhà nghiên cứu khác tên là Rony Das cũng đã phát hiện ra nhiều lỗ hổng bảo mật hơn. Cụ thể, nó đã tìm thấy lỗ hổng XSS. Tóm lại: tin tặc có thể chèn mã độc hại vào HTML của trang Sarahah, mã này có thể bao gồm vi-rút và phần mềm gián điệp.

Các vấn đề khác: Helme đã xác định các lỗi nghiêm trọng trong tiêu đề bảo mật, ngăn cản việc sử dụng giao thức bảo mật HSTS. Đây là công cụ ngày càng được sử dụng nhiều hơn để chống lại việc chiếm đoạt cookie và khả năng bị tấn công lợi dụng các phiên bản web cũ. Công việc của Helme là cố gắng để Sarahah bảo vệ người dùng của nó đúng cách. Như trang web tuyên bố, đối thủ cạnh tranh lớn của nó, Ask.fm, là một trang web đầy lỗi và lỗi bảo mật. Vì vậy, còn gì tốt hơn Sarahah để học hỏi từ những thất bại của trang web này và trở thành một trang web an toàn.

Quấy rối và phá hoại: mối nguy hiểm của Sarahah trên web

Về bộ lọc bảo mật và chống quấy rối, nhà nghiên cứu cũng có đôi điều muốn nói. Anh ấy đã nhận thấy rằng, ví dụ, trong câu 'Tôi sẽ giết người để lấy một chiếc bánh mì kẹp pho mát', ứng dụng sẽ xóa bài đăng vì nó tìm thấy một từ tiêu cực, 'Giết'.Tuy nhiên, nếu một dấu phẩy được đặt sau 'Would kill', ứng dụng sẽ bỏ qua dấu phẩy đó. Vâng, nó không đúng về mặt ngữ pháp, nhưng dù sao thì thư cũng sẽ được thông qua.

Và nhiều lỗi khác: Trang của Sarahah không có giới hạn về tốc độ người dùng viết nhận xét, vì vậy bất kỳ ai cũng có thể bị tấn công quấy rối chỉ với một dòng chữ đơn giản. Sarahah cũng không có chức năng xóa hàng loạt, vì vậy nếu chúng ta là nạn nhân của việc bắn phá bình luận, chúng ta phải xóa từng người một.

Ngoài ra, để đặt lại mật khẩu trong Sarahah, trang web chỉ yêu cầu người dùng cung cấp địa chỉ email được liên kết với tài khoản. Sau khi được yêu cầu, hệ thống sẽ tạo một cái mới và tự động gửi nó cho người dùng. Theo nghĩa này, một tin tặc có thể thay đổi một dòng lệnh để mật khẩu thay đổi mọi lúc và do đó, chủ sở hữu tài khoản sẽ không thể truy cập được.Tập lệnh tương tự này cũng có thể được sử dụng để khiến quyền truy cập vào tài khoản không thành công, ngay cả khi mật khẩu hợp lệ. Sarahah khóa tất cả tài khoản người dùng có hơn 10 lần đăng nhập.

Nhà nghiên cứu sau đó đã liên hệ với Sarahah để thông báo cho cô ấy về tất cả những điều này avalanche vi phạm an ninh trong phiên bản web của cô ấy. Một cuộc điều tra đã mất hàng tháng trời của anh ấy và điều đó cuối cùng có thể biến ứng dụng Sarahah trở thành một cộng đồng không bị quấy rối và tấn công mạng có tính toán trước.