موقع SlickWraps مليء بنقاط الضعف - ولا يبدو أنهم مهتمون

الأمن صعب. حتى الشركات مثل Facebook و Twitter ، مع كل الأشخاص الأذكياء الذين يعملون هناك ونتائج عالية المخاطر للفشل ، لا تزال تتعرض لانتهاكات البيانات من وقت لآخر. لن يكون من المستغرب معرفة أن شركة SlickWraps ، المعروفة ببيع غلاف لطيف لهاتفك وأجهزة الكمبيوتر المحمولة ، كانت ستواجه ثغرة أمنية خاصة بها.

الأمر الأكثر إثارة للقلق هو الطريقة التي خرجت بها الشركة عن طريقها لتجاهل التحذيرات من الباحث الأمني ​​وتجنب إبلاغ العملاء بالانتهاك ، وفقًا لما يقتضيه قانون الاتحاد الأوروبي.

في قطعة لالتقاط الأنفاس مليئة بالالتواءات والمنعطفات ، شارك Lynx0x00 في كله قذر على متوسط.

فيما يلي بعض المقتطفات البارزة:

حول كيفية وصوله إلى قاعدة بيانات SlickWraps:

تحتوي صفحة [تخصيص حالة الهاتف] هذه على ثغرة أمنية لا مبرر لها: أي شخص لديه الحق يمكن لمجموعة الأدوات تحميل أي ملف إلى أي مكان في أعلى دليل على الخادم الخاص بهم (أي "الويب جذر"). من هناك ، تم تحميل ملف htaccess بسيط ، مما يتيح المسار إلى:

• السير الذاتية لموظفي SlickWraps الحاليين والسابقين (بما في ذلك. صور شخصية وعناوين البريد الإلكتروني وعناوين المنزل وأرقام الهواتف وما إلى ذلك)

instagram viewer

• 9 جيجا بايت من الصور الشخصية للعملاء ، تم تحميلها عبر أداة تخصيص حقيبة الهاتف SlickWraps (بما في ذلك. نسخ احتياطية من المواد الإباحية المحملة من قبل العملاء).

نظرًا لتجاهل SlickWraps الصارخ لأي مظهر من مظاهر الأمان التشغيلي ، فقد تمكنت بسهولة من تحقيق تنفيذ التعليمات البرمجية عن بُعد وإلغاء تأمين القدرة على تنفيذ أوامر shell. بالنسبة للمبتدئين ، فإن القدرة على تنفيذ أوامر الصدف تشبه الحصول على مفتاح هيكلي. يفتح كل شيء.

تضمنت مجموعة من الأشياء التي يمكنه الوصول إليها ما يلي:

تمكنت من إضافة نفسي كمالك لمنصة Zendesk الخاصة بهم. الآن بعد أن تمكنت من تلقي رسائل البريد الإلكتروني في صندوق الوارد الذي كان مرتبطًا بحسابات SlickWraps المتعددة ، قمت ببساطة بإرسال إعادة تعيين كلمة المرور وإلغاء قفلها:

• الوصول الكامل إلى فريق Slack الخاص بالشركة - الذي يحتوي على 135000 رسالة تاريخية مضمنة فيه.
• أرصدة الحسابات الجارية وسجلات المعاملات لبوابات الدفع الخاصة بهم (PayPal و Braintree).

لقد وجدت أن لوحة الإدارة الخاصة بهم (أي واجهة موظفي SlickWraps والمديرين التنفيذيين لسحب التقارير و إدارة المحتوى على موقع SlickWraps) تمت حمايته بلا مبالاة بواسطة جدار حماية لا طائل منه (تذكر: كان لدي "الهيكل العظمي" مفتاح"). أضفت نفسي كمستخدم إداري وحصلت على الفور على تحكم كامل في نظام إدارة المحتوى الخاص بهم.

في الأساس ، يمكن لأي شخص وصل إلى الثغرة أن يفعل ما يحلو له باستخدام بيانات مستخدمي SlickWraps. إنه خرق خطير للغاية.

https://twitter.com/Lynx0x00/status/1228856602649878530.

الأمر ليس كما لو أن SlickWraps لم يكن على علم بالاختراق. يفصل Lynx عدة محاولات للاتصال بهم ، من الخفي إلى المباشر للغاية. في كل مرة ، لا يتم رفضه فحسب ، بل يتم حظره في النهاية بواسطة حساب تويتر SlickWraps مرتين. ليست نظرة جيدة جدا للشركة. بينما تشير التقارير إلى أن الشركة تحاول تنظيف مناطقها المكشوفة ، فإنها لا تزال تترك الثغرة مفتوحة. إنه يشبه إلى حد ما تغيير أبواب منزلك مع ترك نفس الأقفال القديمة ، والكثير من الجهد مقابل القليل من المكافأة.

معربًا عن حيرته من الطريقة التي جرت بها الأحداث ، كتب Lynx:

ما زلت لا أستطيع فهم سبب عدم تواصل SlickWraps معي ببساطة لمعرفة أين تكمن نقاط الضعف الأساسية. لقد شعرت بالإحباط بشكل متزايد من حقيقة أنهم لم يتصرفوا بناء على التزامهم بإبلاغ العملاء بانتهاك الخصوصية. لفهم مدى خطورة خرق البيانات هذا ، لاحظ أن عدم الامتثال لإخطار العملاء بخرق البيانات داخل الاتحاد الأوروبي يمكن أن يؤدي إلى غرامات إدارية تصل إلى 20 مليون يورو ، أو أربعة في المائة من المبيعات السنوية العالمية للشركة - أيهما أعلى.

https://twitter.com/Lynx0x00/status/1229740632773496832.

ارتكاب الخطأ أمر طبيعي. الجميع يفعل ذلك من وقت لآخر. مقياس الشخصية الحقيقي هو كيفية استجابتك لاكتشاف ذلك. بأكثر من طريقة ، فشلت SlickWraps في اختبار vibe ،

أفضل برامج إدارة كلمات المرور لنظام Android في عام 2020