Сайт AT&T тайно перенаправлял исследователей безопасности на портал ФБР
Один из web-сайтов телекоммуникационной компании AT&T тайно перенаправлял тестировщиков безопасности на портал Федерального бюро расследований США, чем ставил их под угрозу непреднамеренного нарушения закона. На прошлой неделе исследователь безопасности Nux из команды ThugCrowd анализировал сайты AT&T на предмет наличия в них уязвимостей, за которые можно получить вознаграждение в рамках программы bug bounty. В ходе исследования он обнаружил, что портал E-rate (erate.att.com), используемый школами и библиотеками для получения скидок на пользование интернетом и телефонной связью, попытался перенаправить его инструменты для тестирования на другой URL-адрес, принадлежащий порталу FBI Tips. Попытка перенаправления произошла, когда Nux с помощью Sqlmap искал SQL-уязвимости, а также использовал расширение для браузера NoScript с целью выяснить, может ли XSS-уязвимость привести к более серьезной проблеме. Хотя тестирования на проникновения проводятся профессиональными исследователями безопасности с целью поиска уязвимостей в рамках программ bug bounty, с технической стороны они ничем не отличаются от реальных кибератак. Nux искал уязвимости на сайте AT&T, поскольку у AT&T есть соответствующая программа, и не собирался трогать правительственные ресурсы. У ФБР такой программы нет, и перенаправление тестировщиков на сайты бюро ставит их под угрозу непреднамеренного нарушения закона. На прошлых выходных компания AT&T убрала перенаправление. Хотя все это похоже на шутку со стороны кого-нибудь из IT-отдела AT&T, вероятнее всего, проблема возникла случайно.