Это просто какой-то праздник, коллеги. Вот сижу я, простой копирайтер с более чем скромными познаниями в сфере безопасности. И тут мне пишет приятель и спрашивает, есть ли у меня аккаунт на FL и давно ли я им пользовался.
Естественно, прошу пояснить, чем вызван интерес. И по ходу разговора выясняю, что за три недели в системе безопасности знающие люди нашли уже две критичные уязвимости. Прочем вторая дыра меня поразила масштабом безалаберности со стороны сервиса и возможностей использования со стороны "заинтересованных организаций и частных лиц".
Миллионы пользователей FL.RU ведут переписку между собой. Заказчики и исполнители обсуждают организационные и финансовые вопросы. Согласовывают и утверждают эти вопросы в документах, которые ничтоже сумнящеся прикладывают к переписке. Эта переписка на FL.RU называется приватной, скрытой от посторонних. Но при этом документы, приложенные к переписке, исправно индексируются Яндексом и доступны в его выдаче!
Примеры:
Документы в форматах RTF и DOC с названием "договор" на сайте FL.RU
Документы в форматах RTF и DOC с названием "смета" на сайте FL.RU
Документы в форматах RTF и DOC с названием "акт о выполнении работы" на сайте FL.RU
Как мы с вами видим, папка upload на FL.RU открыта для индексирования. Вот сколько всего в ней лежит, полюбуйтесь:
Документы всех индексируемых Яндексом форматов, расположенные в папке "upload" на сайте FL.RU
Показав мне все эти чудеса, приятель добавил, что трое суток пытался добиться от техподдержки FL.RU, чтобы уязвимость закрыли. Воз, как мы видим, и ныне там.
Вот тут-то я порадовался, что давно забросил свой аккаунт на FL. А вам, коллеги, советую первым делом пробить, не торчат ли ваши документы из этих дыр. А потом решайте сами. Хотите воюйте с администрацией, а лучше поищите варианты понадежнее.
Удачи вам! По горячим следам вас предупредила о возможных рисках Веб-студия "АКРИТ". Разработка и продвижение сайтов на CMS «1С-Битрикс». Мы реализуем полный цикл работ - от разработки логотипа и фирменного стиля будущей компании, до ее продвижения на рынок, используя максимально эффективные современные технологии.
Назад в раздел
Естественно, прошу пояснить, чем вызван интерес. И по ходу разговора выясняю, что за три недели в системе безопасности знающие люди нашли уже две критичные уязвимости. Прочем вторая дыра меня поразила масштабом безалаберности со стороны сервиса и возможностей использования со стороны "заинтересованных организаций и частных лиц".
Миллионы пользователей FL.RU ведут переписку между собой. Заказчики и исполнители обсуждают организационные и финансовые вопросы. Согласовывают и утверждают эти вопросы в документах, которые ничтоже сумнящеся прикладывают к переписке. Эта переписка на FL.RU называется приватной, скрытой от посторонних. Но при этом документы, приложенные к переписке, исправно индексируются Яндексом и доступны в его выдаче!
Примеры:
Документы в форматах RTF и DOC с названием "договор" на сайте FL.RU
Документы в форматах RTF и DOC с названием "смета" на сайте FL.RU
Документы в форматах RTF и DOC с названием "акт о выполнении работы" на сайте FL.RU
Как мы с вами видим, папка upload на FL.RU открыта для индексирования. Вот сколько всего в ней лежит, полюбуйтесь:
Документы всех индексируемых Яндексом форматов, расположенные в папке "upload" на сайте FL.RU
Показав мне все эти чудеса, приятель добавил, что трое суток пытался добиться от техподдержки FL.RU, чтобы уязвимость закрыли. Воз, как мы видим, и ныне там.
Вот тут-то я порадовался, что давно забросил свой аккаунт на FL. А вам, коллеги, советую первым делом пробить, не торчат ли ваши документы из этих дыр. А потом решайте сами. Хотите воюйте с администрацией, а лучше поищите варианты понадежнее.
Удачи вам! По горячим следам вас предупредила о возможных рисках Веб-студия "АКРИТ". Разработка и продвижение сайтов на CMS «1С-Битрикс». Мы реализуем полный цикл работ - от разработки логотипа и фирменного стиля будущей компании, до ее продвижения на рынок, используя максимально эффективные современные технологии.
Назад в раздел
Подписаться на новые материалы раздела: