Pull to refresh

Принудительная смена паролей на сайте, или забота о моей безопасности. Или free-lance.ru сломали?

Information Security
Буквально несколько минут назад получил письмо от популярного в своей области сайта о фри-лансе free-lance.ru примерно такого содержания:

«Уважаемый XXX!
Администрация Free-lance.ru проводит ежегодную смену паролей пользователей, это профилактическое мероприятие позволит обезопасить ваш аккаунт от несанкционированного доступа третьих лиц. Ваш старый пароль в целых вашей безопасности был изменен автоматически. Для изменения пароля на новый необходимо перейти по ссылке LINK».


Первая мысль: «где тут кнопочка чтобы сообщить гуглу о фишинге?», но что-то останавливает. Просматриваю заголовки, ссылки. Вроде бы все честно, ведет туда, куда надо. Или у них базу увели, а они по-тихой, не спланировав как следует, рассылочку запустили…

Так скажите, о гуру юзабилити сайта, вы решили идти по стопам вебмани и в панике принимать параноидальные решения для псевдобезопасности? Или, может, ресурс сломали?

Внутри — пара домыслов и риторический вопрос.
UPD: появилась интрига
Зачем я буду менять пароль, коим успешно пользуюсь уже несколько лет на нескольких подобных сайтах?

Вопрос часа:


На что ты готов пойти ради безопасности пользователей?

— пожертвовать сотней аккаунтов нерадивых пользователей, и заблокировать их, разбирая каждую ситуацию индивидуально и восстанавливая доступ по письменным жалобам
или
— раз в N времени заставлять народ менять пароль и проводить акты заботы о пользователях?

Может, кто-то у вас увел базу?


Несколько моментов, которые в данной ситуации заставляют задуматься.
  • письмо счастья составлено неказисто. В показаниях путаются мысли: зачем посылать меня менять пароль, если в предыдущей реплике сообщаете, что уже все успешно сами провернули?
  • я смог успешно изменить свой старый пароль на свой старый пароль. Если вы утверждаете, что пароли нужно поменять во что бы то ни стало, то зачем оставили такую лазейку? Подумайте и о том, что его нужно в принципе изменить, а не ввести заново
  • До смены пароля пробую залогиниться со своими старыми данными. В вижу сообщение «не пошел бы ты лесом, твой пароль неверный. Давай-ка его восстановим». Ни слова о плановой замене. Например, я не смотрю почту. И только потом, через неделю, я найду в спаме сообщение, мол, вот такая штука у нас была
Почему перед таким серьезным, вроде бы, шагом у них не продумано ничего.
Ладно, там собираются люди, которые немного понимают в веб-технологиях. А если бы это был сайт о рукоделии, например? Все бы в ужасе закидали гугл сообщениями о спаме-фишинге. И мы бы получили безопасный, вроде, сервис, но потеряли людей, которые подумали что их аккаунты увели.

Если (вдруг?) у вас увели базу, имейте смелость в этом признаться, пользователи вас поймут. А если молчать в тряпку, будет только хуже для всех.


UPD1: Читатели сообщают, что теперь письмо с паролем приходит сразу после попытки логина на сайт (удачной). Разница между авторизацией и письмом — меньше минуты. Режим «Паника» сменился на режим «осторожность». Мнение читателя: это не попытка взлома, а просто непродуманные действия администрации.

UPD2: Припомнили, что в прошлом году уже производилась всеобщая смена паролей в связи с DDoS-атакой. Теперь это взаправдашная традиция.

Где попкорн?


UPD3: Неизвестные люди опровергли слухи о том, что их взломали.

UPD4: В твиттере откомментировали, что мозги базы, все-таки, утекли, и вечером разместят пост на заданную тему. «Утекли у них базы. Вечером добавлю в песочницу статью об этом».
Ждем с нетерпением!

UPD5: Разработчикам и специалистам по ИБ приходили в этот день предложения о сотрудничестве:
«Добрый день! Пишем вам с вашего профиля на сайте Free-lance.ru. Нашей компании на постоянное сотрудничество требуется веб-программист для написания скриптов, оптимизирующих работ предприятия...»
Для смеха: предлагают зп целых 20 тысяч в месяц.

UPD6: Вот она, причина ежегодной заботы о нас с вами!


Встречайте статью от WildZero: Дыра на free-lance.ru. Уличили-таки их, заботливых!


Ремарка: изначально статья не содержала ссылок на виновника торжества, но, раз пошло такое дело, вот вам все прямые координаты, вставил в содержание.
Tags:пароливзломfree-lance.ruфишингдомыслы и сомнениянизкая зарплата
Hubs: Information Security
Total votes 108: ↑80 and ↓28 +52
Views2.7K

Comments 143

Only those users with full accounts are able to leave comments. Log in, please.

Popular right now

Security Engineer
from 2,000 to 5,000 $CoinLoanRemote job
Security engineer
to 170,000 ₽PleskНовосибирскRemote job
Преподаватель авторизованных курсов "Kaspersky"
from 80,000 to 160,000 ₽Центр компьютерного обучения СПЕЦИАЛИСТМоскваRemote job
Application Security Specialist
from 150,000 ₽СindicatorСанкт-ПетербургRemote job
Unity developer (Logic)
from 130,000 ₽Azur GamesНовосибирск