Корпорация Lycos сообщила о том, что системная уязвимость сервера, на котором размещен популярный интернет-сервис Tripod, позволяющая хакерам обходить механизмы идентификации и получать контроль над страницей пользователя, устранена. Эксперты из компании по компьютерной безопасности компании Interrorem, обнаружившие данную уязвимость в сервисе Lycos утверждают, что используя ее можно было похитить пользовательский ящик, посредством манипуляции с URL.
По словам консультанта из Interrorem Расса Спунера (Russ Spooner) такая возможность возникала оттого, что механизм идентификации, задействованный на Tripod работал поступенчато - при доступе пользователя к странице активации не производилось проверки того, вводился ли пароль на данное действие. Спунер утверждает, что воспользоваться этим обстоятельством было очень просто, ну а затем злоумышленник мог бы делать все, что хотел.
Несвоевременное обнаружение дефекта в защите вместе с легкостью его использования могло бы привести к массовой порче домашних страниц зарегистрированных на Tripod пользователей и к возможному похищению личной информации, полагают в Interrorem. Более того, можно было создать программный сценарий, который мог стереть или повредить все пользовательские страницы на Tripod.
Будучи уведомленным об опасности, Lycos отреагировал оперативно - механизм идентификации был восстановлен в течение дня. По словам технического директора портальных сервисов компании TerraLycos Дона Козака (Don Kosak), опасности подверглась только американская версия Tripod. Он также отметил, что адреса электронной почты пользователей остались в неприкосновенности.
