Хакеры могут взломать учетную запись еще до ее создания
Специалисты изучили 75 популярных online-сервисов и как минимум на 35 из них обнаружили уязвимости, позволяющие взламывать аккаунты еще до их регистрации.
Атакующий должен знать электронный адрес жертвы, достать который сейчас довольно не сложно. Далее с помощью этого адреса злоумышленник создает учетную запись на уязвимом сайте и надеется на то, что жертва пропустит уведомление об этом в своей электронной почте, приняв его за спам. Затем он ждет, что жертва сама решит зарегистрироваться на этом сайте или обманом вынуждает ее это сделать.
Существует пять разных атак, которые злоумышленник может осуществить в данном случае: слияние аккаунтов (classic-federated merge, CFM), неистекший сеанс (unexpired session, US), троянский идентификатор (trojan identifier, TID), изменение неистекшего электронного адреса (unexpired email change, UEC) и отсутствие проверки провайдера личности (non-verifying Identity provider (IdP), NV).