Член

Уебсайтът на SlickWraps е пълен с уязвимости - и изглежда не им пука

Сигурността е трудна. Дори фирми като Facebook и Twitter, с всички интелигентни хора, които работят там и с високи залози в резултат на неуспех, все още изпитват нарушения на данните от време на време. Не би било изненадващо да научите, че SlickWraps, компания, известна с продажбата на сладки обвивки за вашия телефон и лаптопи, би имала собствена уязвимост.

Нещото, което е по-обезпокоително, е начинът, по който фирмата се е постарала активно да игнорира предупрежденията от изследовател по сигурността и да избягва да съобщава за нарушението на своите клиенти, както се изисква от законодателството на ЕС.

В спираща дъха парче, пълно с обрати, Lynx0x00 сподели цяла мръсна афера на Среден.

Ето някои забележителни откъси:

За това как е получил достъп до базата данни SlickWraps:

Тази страница [персонализиране на случая на телефона] съдържа непростима уязвимост: всеки с правото инструментариум може да качи всеки файл на всяко място в най-високата директория на техния сървър (т.е. „уеб корен "). Оттам беше качен прост .htaccess файл, позволяващ път към:

  • Автобиографии на настоящи и предишни служители на SlickWraps (вкл. селфита, имейл адреси, домашни адреси, телефонни номера и др.)

  • 9 GB лични клиентски снимки, качени чрез инструмента за персонализиране на калъфа за телефон SlickWraps (вкл. резервни копия на качена от клиенти порнография).

Поради откровеното пренебрегване от страна на SlickWraps на някакво подобие на оперативна сигурност, успях без усилие да постигна дистанционно изпълнение на код и да отключа възможността за изпълнение на команди на черупки. За непосветените способността за изпълнение на команди на черупки е подобна на получаването на скелетен ключ. Отключва всичко.

Включва селекция от неща, до които е имал достъп:

Успях да се добавя като собственик на тяхната платформа Zendesk. Сега, когато имах възможността да получавам имейли във входяща поща, която беше свързана с множество акаунти в SlickWraps, аз просто изпратих нулиране на парола и отключих допълнително:

  • Пълен достъп до техния корпоративен екип на Slack - такъв, който съдържа 135 000 исторически съобщения.
  • Салда по текущата сметка и регистрите на транзакциите за техните платежни шлюзове (PayPal и Braintree).

Открих, че техният администраторски панел (т.е. интерфейсът за служители и ръководители на SlickWraps за изтегляне на отчети и управление на съдържанието в уебсайта на SlickWraps) беше небрежно защитена от безсмислена защитна стена (не забравяйте: имах "скелета" ключ "). Добавих се като администратор и веднага получих пълен контрол над тяхната система за управление на съдържанието.

По същество всеки, който е осъществил достъп до уязвимостта, може да направи каквото иска с данните на потребителите на SlickWraps. Това е много, много, много сериозно нарушение.

Verizon предлага Pixel 4a само за $ 10 / месец на нови неограничени линии

https://twitter.com/Lynx0x00/status/1228856602649878530.

Не е като SlickWraps да не са знаели за нарушението. Линкс описва няколко опита за установяване на контакт с тях, от фините до най-преките. Всеки път, не само той е отблъснат, но в крайна сметка е блокиран от акаунта в SlickWraps twitter два пъти. Не много добър външен вид за компанията. Въпреки че фирмата се опитва да почисти откритите си зони, тя все още е оставила уязвимостта отворена. Това е все едно да смените вратите на къщата си, но да оставите същите стари брави, много усилия за малко възнаграждение.

Изразявайки недоумение от начина, по който се разиграват събитията, Lynx пише:

Все още не мога да разбера защо SlickWraps не е просто комуникирал с мен, за да научи къде се крият основните уязвимости. Бях все по-разочарован от факта, че те не изпълняват задължението си да информират клиентите за нарушението на поверителността. За да разберете сериозността на това нарушение на данните, имайте предвид, че несъответствието с уведомяването на клиентите за нарушение на данните в рамките на ЕС може да доведе до административни глоби до 20 милиона евро или четири процента от глобалния годишен оборот на компанията - в зависимост от това, което е по-висок.

https://twitter.com/Lynx0x00/status/1229740632773496832.

Грешката е естествена. Всеки го прави от време на време. Истинският показател за характера е как реагирате на това да бъдете разбрани. По повече от един начин SlickWraps не успя да провери вибрацията,

Най-добрите мениджъри на пароли за Android през 2020 г.

Слушали ли сте Android Central Podcast тази седмица?

Android Central

Всяка седмица Android Central Podcast ви предоставя най-новите технологични новини, анализи и актуални снимки, с познати съ-домакини и специални гости.

  • Абонирайте се за Pocket Casts: Аудио
  • Абонирайте се в Spotify: Аудио
  • Абонирайте се в iTunes: Аудио

Можем да спечелим комисионна за покупки, използвайки нашите връзки. Научете повече.

Това са най-добрите безжични слушалки, които можете да закупите на всяка цена!
Време е да прережете кабела!

Това са най-добрите безжични слушалки, които можете да закупите на всяка цена!

Най-добрите безжични слушалки са удобни, звучат страхотно, не струват прекалено много и лесно се побират в джоба.

Всичко, което трябва да знаете за PS5: Дата на издаване, цена и много други
Следващото поколение

Всичко, което трябва да знаете за PS5: Дата на издаване, цена и много други.

Sony официално потвърди, че работи по PlayStation 5. Ето всичко, което знаем за него до момента.

Nokia пуска два нови бюджетни телефона Android One под $ 200
Нови Нокии

Nokia пуска два нови бюджетни телефона Android One под $ 200.

Nokia 2.4 и Nokia 3.4 са най-новите допълнения към бюджетната гама смартфони на HMD Global. Тъй като и двете са устройства с Android One, гарантирано ще получат две основни актуализации на ОС и редовни актуализации на защитата до три години.

Това са най-добрите ленти за Fitbit Sense и Versa 3
Ново и подобрено

Това са най-добрите ленти за Fitbit Sense и Versa 3.

Заедно с пускането на Fitbit Sense и Versa 3, компанията представи и нови безкрайни ленти. Избрахме най-добрите, за да улесним нещата.

instagram story viewer