Как Чебурашка Крокодилов на Код ИБ онлайн попал

4 мин на чтение


Данный пост перенесён автоматически с предыдущего варианта сайта. Возможны артефакты. Если информация этого поста важна для вас, свяжитесь со мной для получения полного содержимого.


Только что закончилась онлайн-конференция, проводимая компанией Экспо-Линк, Код Информационной Безопасности онлайн, поэтому могу опубликовать этот пост.

Как я уже писал, в Экспо-Линк решили провести эксперимент и в отличие от оффлайнового формата, бесплатного для слушателей, за девять докладов в течение трёх дней слушателям предлагалось заплатить от 599 до 999 рублей (полная цена без промокода).

Понятно, что когда мероприятие платное, просто так, не заплатив, на него не попадёшь. По крайней мере, я так думал. Однако, оказалось, что хоть в названии и присутствует “информационная безопасность”, не всё так безопасно и при определённом желании на онлайн часть попасть мог и тот, кто не заплатил организатором ни копейки. В моём случае таким зайцем стал некто Чебурашка Крокодилов. Но, обо всём по порядку.

[caption id=”attachment_9163” align=”aligncenter” width=”426”]Чебурашка Крокодилов среди слушателей Код ИБ онлайн Чебурашка Крокодилов среди слушателей Код ИБ онлайн[/caption]

Так как среди девяти читавшихся докладов был и мой “Как обеспечить безопасную и удобную аутентификацию пользователей при доступе к корпоративным ресурсам с любых устройств?”, то меня зарегистрировали в качестве докладчика и платформа Webinar.ru стала исправно присылать уведомления и напоминания о предстоящих мероприятиях (на каждый из трёх дней регистрация была отдельная - видимо, такова особенность Webinar.ru)

Сами письма выглядели как обычные письма такого рода. Ссылка на подключение явно генерировалась индивидуально и выглядела случайно. Наверное, ей можно было бы с кем-то поделиться, но, подозреваю, платформа два одновременных подключения могла бы и не разрешить.

[caption id=”attachment_9166” align=”aligncenter” width=”616”]Письмо с подтверждением регистрации на Код ИБ онлайн Письмо с подтверждением регистрации на Код ИБ онлайн[/caption]

Сюрприз, позволивший Чебурашке прокрасться, крылся немного в другом. В момент запущенного вебинара переход по ссылке сразу пробрасывал в комнату с чатом и окном демонстрации презентации. Однако, для ещё не начавшегося вебинара открывалась страница с соответствующим уведомлением (у меня сохранился скриншот от третьего дня, но от первого и второго были такие же).

[caption id=”attachment_9165” align=”aligncenter” width=”682”]Уведомление о неначавшемся вебинаре Уведомление о неначавшемся вебинаре[/caption]

На скриншоте я выделил ссылку ”Добавить в календарь”. При нажатии на неё скачивался файл в формате .ics, добавляющий в календарь при своём открытии вот такое событие:

[caption id=”attachment_9167” align=”aligncenter” width=”377”]Событие в календаре Событие в календаре[/caption]

Моё внимание привлекла ссылка, выделенная на скриншоте красным прямоугольникам. Очень уж она была короткая и вряд ли могла быть у каждого индивидуальной. Так и оказалось - это была ссылка непосредственно на страницу самого события. Более того, на этой странице была размещена форма регистрации.

[caption id=”attachment_9169” align=”aligncenter” width=”650”]Страница самого события с формой регистрации Страница самого события с формой регистрации[/caption]

“Не может же быть, чтобы регистрация на платное мероприятие было автоматической и без проверки”, - подумаете вы и будете не правы, как и я, когда подумал ровно так же.

[caption id=”attachment_9170” align=”aligncenter” width=”375”]Чебурашка получает действующую ссылку на Код ИБ онлайн Чебурашка получает действующую ссылку на Код ИБ онлайн[/caption]

Вот таким нехитрым способом можно было попасть на мероприятие совершенно бесплатно. Всё, что для этого требовалось - это узнать ID события (794770 для третьего дня). Немного поэкспериментировав с ID (http://my.webinar.ru/event/ID), выяснил, что все они чётные и идут практически подряд. К слову, среди вебинаров встречаются весьма забавные, ниже несколько примеров. При желании вполне можно найти и такие, на которые регистрация идёт прямо сейчас.

Пример чужого вебинара 1 Пример чужого вебинара 2 Пример чужого вебинара 3 Пример чужого вебинара 4

Вот такое мини-исследование платформы Webinar.ru, которую выбрали для своей конференции коллеги из Экспо-Линк получилось. Не могу сказать, что это какая-то страшная уязвимость, но в целом, впечатление от самой платформы у меня сложилось как о некоем не до конца в мелочах доведённом решении, ну или просто для данного мероприятия чуть не продумали сценарий проверки пользователей - всё же конференция во многом была экспериментальной =)

Среди вебинаров попадались и защищённые паролями, так что, думаю, при желании, оградить свой контент от посторонних глаз можно. Ну, а если скрывать нечего, то можно и Webinar.ru использовать. В конце концов он в отличие от моего фаворита GoToWebinar от Citrix полностью русифицирован, что может быть важным.

[caption id=”attachment_9175” align=”aligncenter” width=”650”]Пример чужого вебинара с паролем Пример чужого вебинара с паролем[/caption]

В заключение напомню, что сама конференция уже закончилась, но можно купить записи - либо все за 1599 руб. либо каждую по отдельности за 499 руб. По промокоду zlonov скидка 20% продолжает действовать.

Иллюстрация отсюда: http://img1.joyreactor.cc

--- === @zlonov === ---

--- === @zlonov === ---

Комментарии из Telegram


Комментарии ВКонтакте