Команда анонимного сервиса для информаторов SecureDrop устранила серьезную уязвимость, позволявшую атакующим перехватывать коммуникации между журналистами и информаторами.
Пакеты передаются по протоколу HTTP, что позволяет злоумышленнику с доступом к сети осуществить атаку «человек посередине», подключиться к серверу и удаленно выполнить код. Уязвимость затрагивает версию SecureDrop 0.3. Более ранние версии проблеме не подвержены. Эксплуатация ошибки возможна только во время инсталляции SecureDrop.
Как отмечается, для проведения атаки хакерам потребуются значительные ресурсы для того, чтобы вести наблюдение за объектом, определить момент установки версии SecureDrop 0.3, осуществить атаку «человекw посередине» и своевременно подменить установочные файлы вредоносными. В настоящее время у команды SecureDrop нет информации о случаях эксплуатации данной уязвимости злоумышленниками.
Проблема устранена в выпуске SecureDrop 0.4.4. SecureDrop – платформа с открытым исходным кодом, которая позволяет новостным медиаорганизациям анонимно и безопасно получать информацию и общаться с журналистами и правозащитниками.