Хакеры взломали несколько тысяч блогов рунета

Прошлой ночью были найдены уязвимости в проекте BestPersons.ru, через который был получен доступ к нескольким тысячам дневников Livejournal и десяткам тысяч профилей на других сервисах.

BestPersons.ru – интегратор социальных сетей, где пользователи указывают все свои имена и пароли от блогов и других страниц на других проектах, чтобы получать обновления в одном месте.
"Я был удивлен, когда узнал, что сменить пароль пользователя и любую его информацию на этом сервисе можно обладая всего лишь его кукой (Cookies). Такой простой вещи, как ограничение сессий по IP там нет, не говоря уже о требовании ввести пароль при смене критичных данных. А это уже совсем непростительно. Я обнаружил, что если сменить свой email в профиле, то система радостно отправляет на новый email незашифрованный пароль пользователя", – рассказывает Роман Сербин, обнаруживший уязвимость проекта.
Подобные интеграторы социальных сетей стали обретать популярность последнее время. Пример – недавно анонсированный сервис "Рамблер.Друзья". Они позволяют экономить время и структурировать свою информацию, но небезопасны, потому что потеряв доступ к профилю такого сервиса, пользователи теряет все.
Кстати: за несколько дней до происшествия социальная сеть "ВКонтакте.ру" заблокировала возможность подключения BestPersons.ru к данным своих пользователей, поэтому ни один пользователь не потерял своего профиля.