Η ασφάλεια είναι δύσκολη. Ακόμη και εταιρείες όπως το Facebook και το Twitter, με όλους τους έξυπνους ανθρώπους που εργάζονται εκεί και τα υψηλά αποτελέσματα αποτυχίας, εξακολουθούν να αντιμετωπίζουν παραβιάσεις δεδομένων από καιρό σε καιρό. Δεν θα ήταν περίεργο να μάθουμε ότι το SlickWraps, μια εταιρεία γνωστή για την πώληση χαριτωμένων περιτυλίξεων για το τηλέφωνό σας και τους φορητούς υπολογιστές σας, θα αντιμετώπιζε ένα δικό της ευπάθεια.
Αυτό που αφορά περισσότερο είναι ο τρόπος με τον οποίο η εταιρεία έφυγε από το δρόμο της για να αγνοήσει ενεργά τις προειδοποιήσεις ενός ερευνητή ασφαλείας και να αποφύγει να κοινοποιήσει την παραβίαση στους πελάτες της, όπως απαιτείται από το δίκαιο της ΕΕ.
Σε ένα συναρπαστικό κομμάτι γεμάτο στροφές, το Lynx0x00 μοιράστηκε το όλη η άθλια υπόθεση Μεσαίο.
Ακολουθούν μερικά σημαντικά αποσπάσματα:
Σχετικά με το πώς πήρε πρόσβαση στη βάση δεδομένων SlickWraps:
Αυτή η σελίδα [προσαρμογή περίπτωσης τηλεφώνου] περιείχε μια αδικαιολόγητη ευπάθεια: όποιος έχει το δικαίωμα η εργαλειοθήκη θα μπορούσε να ανεβάσει οποιοδήποτε αρχείο σε οποιαδήποτε τοποθεσία στον υψηλότερο κατάλογο στον διακομιστή τους (δηλαδή στον "ιστό" ρίζα"). Από εκεί, ένα απλό αρχείο .htaccess ανέβηκε, επιτρέποντας μια διαδρομή προς:
Περιλήψεις υπαρχόντων και παλαιότερων υπαλλήλων του SlickWraps (συμπ. selfies, διευθύνσεις email, διευθύνσεις σπιτιού, αριθμούς τηλεφώνου κ.λπ.)
9 GB προσωπικών φωτογραφιών πελατών, μεταφορτωμένες μέσω του εργαλείου προσαρμογής θήκης τηλεφώνου SlickWraps (συμπερ. αντίγραφα ασφαλείας της πορνογραφίας που έχει ανεβάσει ο πελάτης).
Λόγω της κατάφωρης παραβίασης του SlickWraps για οποιαδήποτε εμφάνιση λειτουργικής ασφάλειας, ήμουν σε θέση να επιτύχω απομακρυσμένη εκτέλεση κώδικα και να ξεκλειδώσω τη δυνατότητα εκτέλεσης εντολών κελύφους. Για τους άγνωστους, η ικανότητα εκτέλεσης εντολών κελύφους μοιάζει με την απόκτηση κλειδιού σκελετού. Ξεκλειδώνει τα πάντα.
Μια επιλογή από πράγματα στα οποία θα μπορούσε να έχει πρόσβαση περιλαμβάνονται:
Ήμουν σε θέση να προσθέσω τον εαυτό μου ως κάτοχο της πλατφόρμας Zendesk. Τώρα που είχα τη δυνατότητα να λαμβάνω μηνύματα ηλεκτρονικού ταχυδρομείου σε εισερχόμενα που ήταν συνδεδεμένα με πολλούς λογαριασμούς SlickWraps, έστειλα απλώς επαναφορές κωδικού πρόσβασης και ξεκλείδωτα περαιτέρω:
- Πλήρης πρόσβαση στην εταιρική τους ομάδα Slack - μία που είχε 135.000 ιστορικά μηνύματα που περιέχονται σε αυτήν.
- Υπόλοιπα τρεχούμενου λογαριασμού και αρχεία καταγραφής συναλλαγών για τις πύλες πληρωμής τους (PayPal και Braintree).
Βρήκα ότι ο πίνακας διαχειριστή τους (δηλαδή η διεπαφή για τους υπαλλήλους και τα στελέχη του SlickWraps να τραβούν αναφορές και διαχείριση περιεχομένου στον ιστότοπο SlickWraps) προστατεύθηκε απρόσεκτα από ένα άσκοπο τείχος προστασίας (θυμηθείτε: Είχα το "σκελετό" κλειδί"). Πρόσθεσα τον εαυτό μου ως διαχειριστής και απέκτησα αμέσως τον πλήρη έλεγχο του συστήματος διαχείρισης περιεχομένου τους.
Ουσιαστικά, οποιοσδήποτε έχει πρόσβαση στην ευπάθεια θα μπορούσε να κάνει ό, τι θέλει με τα δεδομένα των χρηστών του SlickWraps. Είναι μια πολύ, πολύ, πολύ σοβαρή παραβίαση.
Η Verizon προσφέρει το Pixel 4a με μόλις $ 10 / μήνα σε νέες Απεριόριστες γραμμές
Δεν φαίνεται ότι οι SlickWraps δεν γνώριζαν την παραβίαση. Το Lynx περιγράφει πολλές απόπειρες επαφής μαζί τους, από το λεπτό έως το άμεσο. Κάθε φορά, όχι μόνο απορρίπτεται, αλλά τελικά αποκλείεται από τον λογαριασμό Twitter SlickWraps δύο φορές. Όχι μια πολύ καλή εμφάνιση για την εταιρεία. Ενώ η εταιρεία φέρεται να προσπαθεί να καθαρίσει τις εκτεθειμένες περιοχές της, άφησε ακόμα την ευπάθεια ανοιχτή. Είναι κάπως σαν να αλλάζεις τις πόρτες του σπιτιού σου, αλλά αφήνοντας τις ίδιες παλιές κλειδαριές, πολλή προσπάθεια για λίγη ανταμοιβή.
Εκφράζοντας την απογοήτευση για τον τρόπο που παίζονται τα γεγονότα, ο Lynx γράφει:
https://twitter.com/Lynx0x00/status/1229740632773496832.Δεν μπορώ ακόμα να καταλάβω γιατί το SlickWraps δεν επικοινωνούσε απλώς μαζί μου για να μάθει πού βρίσκονται τα θεμελιώδη τρωτά σημεία. Απογοητεύτηκα όλο και περισσότερο από το γεγονός ότι δεν ενεργούσαν με την υποχρέωσή τους να ενημερώνουν τους πελάτες για την παραβίαση της ιδιωτικής ζωής. Για να κατανοήσετε τη σοβαρότητα αυτής της παραβίασης δεδομένων, λάβετε υπόψη ότι η μη συμμόρφωση της ειδοποίησης πελατών για παραβίαση δεδομένων εντός της ΕΕ μπορεί να οδηγήσει σε διοικητικά πρόστιμα έως και 20 εκατομμύρια ευρώ ή στο 4% του συνολικού ετήσιου κύκλου εργασιών μιας εταιρείας - όποιο κι αν είναι πιο ψηλά.
Το να κάνεις λάθος είναι φυσικό. Ο καθένας το κάνει από καιρό σε καιρό. Η μέτρηση του πραγματικού χαρακτήρα είναι ο τρόπος με τον οποίο ανταποκρίνεστε στο να ανακαλύψετε. Με περισσότερους από έναν τρόπους, το SlickWraps απέτυχε στον έλεγχο δόνησης,
Οι καλύτεροι διαχειριστές κωδικών πρόσβασης για Android το 2020
Έχετε ακούσει το Android Central Podcast αυτής της εβδομάδας;
Κάθε εβδομάδα, το Android Central Podcast σας προσφέρει τις τελευταίες τεχνολογικές ειδήσεις, αναλύσεις και καυτές λήψεις, με γνωστούς συν-οικοδεσπότες και ειδικούς καλεσμένους.
- Εγγραφείτε στο Pocket Casts: Ήχος
- Εγγραφείτε στο Spotify: Ήχος
- Εγγραφείτε στο iTunes: Ήχος
Ενδέχεται να κερδίσουμε προμήθεια για αγορές χρησιμοποιώντας τους συνδέσμους μας. Μάθε περισσότερα.
Αυτά είναι τα καλύτερα ασύρματα ακουστικά που μπορείτε να αγοράσετε σε κάθε τιμή!
Τα καλύτερα ασύρματα ακουστικά είναι άνετα, υπέροχα, δεν κοστίζουν πολύ και χωράνε εύκολα στην τσέπη.
Όλα όσα πρέπει να γνωρίζετε για το PS5: Ημερομηνία κυκλοφορίας, τιμή και πολλά άλλα.
Η Sony επιβεβαίωσε επίσημα ότι εργάζεται στο PlayStation 5. Εδώ είναι ό, τι γνωρίζουμε μέχρι τώρα.
Η Nokia λανσάρει δύο νέα τηλέφωνα Android One προϋπολογισμού κάτω των 200 $.
Το Nokia 2.4 και το Nokia 3.4 είναι οι τελευταίες προσθήκες στην οικονομική σειρά smartphone της HMD Global. Δεδομένου ότι είναι και οι δύο συσκευές Android One, είναι εγγυημένο ότι θα λαμβάνουν δύο σημαντικές ενημερώσεις λειτουργικού συστήματος και τακτικές ενημερώσεις ασφαλείας για έως και τρία χρόνια.
Αυτές είναι οι καλύτερες μπάντες για τα Fitbit Sense και Versa 3.
Μαζί με την κυκλοφορία των Fitbit Sense και Versa 3, η εταιρεία παρουσίασε επίσης νέες μπάντες απείρου. Διαλέξαμε τα καλύτερα για να σας διευκολύνουμε.