Článek

Webové stránky SlickWraps jsou plné zranitelností - a zdá se, že je to nezajímá

Zabezpečení je těžké. Dokonce i firmy jako Facebook a Twitter, se všemi chytrými lidmi, kteří tam pracují, a s vysokými sázkami na neúspěchy, občas narazí na narušení dat. Nebylo by překvapením, kdybyste se dozvěděli, že SlickWraps, společnost známá tím, že prodává roztomilé obaly pro váš telefon a notebooky, by sama zažila zranitelnost.

Nejdůležitější je způsob, jakým se společnost dostala z cesty, aby aktivně ignorovala varování od bezpečnostního výzkumníka a vyhnula se sdělení porušení svým zákazníkům, jak to vyžaduje právo EU.

Lynx0x00 v úchvatném kousku plném zvratů sdílel celá špinavá záležitost Střední.

Zde jsou některé výňatky:

O tom, jak získal přístup do databáze SlickWraps:

Tato stránka [přizpůsobení případu telefonu] obsahovala neomluvitelnou chybu zabezpečení: kdokoli s právem Toolkit mohl nahrát jakýkoli soubor do libovolného umístění v nejvyšším adresáři na jejich serveru (tj. „web vykořenit"). Odtud byl nahrán jednoduchý soubor .htaccess umožňující cestu k:

  • Životopisy současných a minulých zaměstnanců SlickWraps (vč. selfie, e-mailové adresy, domácí adresy, telefonní čísla atd.)

  • 9 GB osobních fotografií zákazníků nahraných prostřednictvím nástroje pro přizpůsobení telefonního pouzdra SlickWraps (vč. zálohy pornografie nahrané zákazníkem).

Kvůli do očí bijícímu ignorování SlickWraps jakéhokoli zdání provozního zabezpečení jsem byl bez námahy schopen dosáhnout vzdáleného spuštění kódu a odemknout schopnost vykonávat příkazy prostředí. Pro nezasvěcené je schopnost vykonávat příkazy shellu podobná získání kostry. Odemkne vše.

Mezi věci, ke kterým měl přístup, patří:

Mohl jsem se přidat jako vlastník jejich platformy Zendesk. Teď, když jsem měl možnost přijímat e-maily v doručené poště, která byla vázána na více účtů SlickWraps, jednoduše jsem poslal resetování hesla a dále odemkl:

  • Plný přístup k jejich firemnímu týmu Slack - ten, který měl v sobě 135 000 historických zpráv.
  • Aktuální zůstatky na účtech a protokoly transakcí pro jejich platební brány (PayPal a Braintree).

Zjistil jsem, že jejich administrátorský panel (tj. Rozhraní pro zaměstnance a vedoucí pracovníky SlickWraps pro stahování zpráv a spravovat obsah na webu SlickWraps) byl nedbale chráněn zbytečným firewallem (pamatujte: měl jsem „kostru klíč"). Přidal jsem se jako uživatel správce a okamžitě jsem získal plnou kontrolu nad jejich systémem pro správu obsahu.

V podstatě každý, kdo přistupoval k této chybě zabezpečení, si mohl s daty uživatelů SlickWraps dělat, co se mu líbí. Je to velmi, velmi, velmi vážné porušení.

Verizon nabízí Pixel 4a za pouhých 10 $ / měsíc na nových linkách Unlimited

https://twitter.com/Lynx0x00/status/1228856602649878530.

Není to tak, že by SlickWraps o porušení nevěděl. Lynx popisuje několik pokusů o navázání kontaktu s nimi, od jemných po velmi přímé. Pokaždé je nejen odmítnut, ale nakonec je dvakrát zablokován twitterovým účtem SlickWraps. Společnost není moc dobrý pohled. Zatímco se firma údajně snaží vyčistit exponovaná místa, nechala zranitelnost stále otevřenou. Je to něco jako vyměnit dveře svého domu, ale nechat stejné staré zámky, hodně úsilí za malou odměnu.

Lynx vyjadřuje zmatek nad tím, jak se události odehrály, píše:

Stále nemohu pochopit, proč SlickWraps se mnou jednoduše nekomunikoval, aby zjistil, kde leží základní zranitelnosti. Stále více mě frustrovalo, že neplní svou povinnost informovat zákazníky o porušení ochrany soukromí. Abychom pochopili závažnost tohoto porušení ochrany údajů, vezměte na vědomí, že nedodržení povinnosti oznámit zákazníkům porušení ochrany údajů v rámci EU může mít za následek správní pokuty až do výše 20 milionů EUR, nebo čtyři procenta globálního ročního obratu společnosti - podle toho, co nastane vyšší.

https://twitter.com/Lynx0x00/status/1229740632773496832.

Udělat chybu je přirozené. Každý to občas dělá. Skutečnou metrikou znaků je to, jak reagujete na zjištění. SlickWraps selhalo při kontrole vibrací více způsoby,

Nejlepší správci hesel pro Android v roce 2020

Poslouchali jste tento týden Android Central Podcast?

Android Central

Každý týden vám Android Central Podcast přináší nejnovější technologické novinky, analýzy a zajímavé záběry se známými hostiteli a speciálními hosty.

  • Přihlaste se k odběru v kapesních obsazeních: Zvuk
  • Přihlaste se k odběru ve Spotify: Zvuk
  • Přihlásit se k odběru v iTunes: Zvuk

Můžeme získat provizi za nákupy pomocí našich odkazů. Zjistit více.

Jedná se o nejlepší bezdrátová sluchátka, která si můžete koupit za každou cenu!
Je čas přestřihnout šňůru!

Jedná se o nejlepší bezdrátová sluchátka, která si můžete koupit za každou cenu!

Nejlepší bezdrátová sluchátka jsou pohodlná, skvěle zní, nestojí příliš mnoho a snadno se vejdou do kapsy.

Vše, co potřebujete o PS5 vědět: Datum vydání, cena a další
Další generace

Vše, co potřebujete o PS5 vědět: Datum vydání, cena a další.

Společnost Sony oficiálně potvrdila, že pracuje na PlayStation 5. Tady je vše, co o tom zatím víme.

Nokia uvádí na trh dva nové levné telefony Android One s cenou do 200 $
Nové Nokie

Nokia uvádí na trh dva nové levné telefony Android One s cenou do 200 $.

Nokia 2.4 a Nokia 3.4 jsou nejnovější přírůstky do řady levných smartphonů HMD Global. Jelikož jsou obě zařízení Android One, je zaručeno, že budou dostávat dvě hlavní aktualizace operačního systému a pravidelné aktualizace zabezpečení až na tři roky.

Toto jsou nejlepší kapely pro Fitbit Sense a Versa 3
Nový a vylepšený

Toto jsou nejlepší kapely pro Fitbit Sense a Versa 3.

Spolu s vydáním Fitbit Sense a Versa 3 společnost představila také nová nekonečná pásma. Vybrali jsme ty nejlepší, abychom vám usnadnili práci.

instagram story viewer