Turvalisus on raske. Isegi sellised ettevõtted nagu Facebook ja Twitter koos kõigi seal töötavate nutikate inimeste ja suurte panustega ebaõnnestumiste tagajärjel kogevad ikka ja jälle andmete rikkumisi. Poleks üllatav teada saada, et SlickWraps, ettevõte, mis on tuntud oma telefoni ja sülearvutite jaoks armas ümbriste müümise eest, oleks kogenud oma haavatavust.
Veelgi murettekitavam on see, kuidas ettevõte tegi kõik endast oleneva, et aktiivselt eirata turvauuringute uurija hoiatusi ja vältida rikkumisest klientidele teatamist, nagu EL seadus nõuab.
Hingemattvas tükis, mis on täis keerdkäike, jagas Lynx0x00 kogu räme asi Keskmine.
Siin on mõned silmapaistvad väljavõtted:
Selle kohta, kuidas ta sai juurdepääsu SlickWrapsi andmebaasile:
See [telefoni juhtumite kohandamise] leht sisaldas andestamatut haavatavust: igaüks, kellel on õigus tööriistakomplekt võib üles laadida mis tahes faili mis tahes asukohta oma serveri kõrgeimas kataloogis (st juur "). Sealt laaditi üles lihtne .htaccess-fail, mis võimaldab teed:
SlickWrapsi praeguste ja endiste töötajate (sh. selfid, e-posti aadressid, koduaadressid, telefoninumbrid jne)
9 GB isiklikke klientide fotosid, mis on üles laaditud SlickWrapsi telefoni korpuse kohandamise tööriista kaudu (sh kliendi üleslaaditud pornograafia varukoopiad).
Tänu SlickWrapsi räigele eiramisele mis tahes operatiivturvalisuse näol, suutsin ma vaevata saavutada koodi kaugkäivituse ja avada võime käskude täitmiseks. Asjatundmatutele sarnaneb võime shellikäske täita skeletivõtme hankimisega. See avab kõik.
Valik asju, millele tal oli juurdepääs, hõlmas järgmist:
Sain ennast lisada nende Zendeski platvormi omanikuks. Nüüd, kui mul oli võimalus e-kirju vastu võtta postkastis, mis oli seotud mitme SlickWrapsi kontoga, saatsin lihtsalt parooli lähtestamise ja avasin veel:
- Täielik juurdepääs nende ettevõtte Slacki meeskonnale - sellesse, mis sisaldas 135 000 ajaloolist sõnumit.
- Arvelduskonto saldod ja tehingute logid nende makselüüside jaoks (PayPal ja Braintree).
Leidsin, et nende administraatoripaneel (st SlickWrapsi töötajate ja juhtide liides aruannete ja SlickWrapsi veebisaidi sisu haldamiseks) oli hooletult kaitstud mõttetu tulemüüriga (pidage meeles: mul oli võti"). Lisasin end administraatori kasutajaks ja sain kohe täieliku kontrolli nende sisuhaldussüsteemi üle.
Sisuliselt võiksid kõik haavatavuse kasutajad SlickWrapsi kasutajate andmetega teha nii, nagu neile meeldib. See on väga, väga, väga tõsine rikkumine.
Verizon pakub Pixel 4a uutele piiramatutele liinidele vaid 10 dollarit kuus
See pole nii, et SlickWraps ei teadnud rikkumisest. Ilves kirjeldab mitmeid katseid nendega kontakti luua, alates peenest kuni otseseni. Iga kord mitte ainult ei tõrjutakse, vaid SlickWrapsi twitteri konto blokeerib ta lõpuks kaks korda. Ettevõtte välimus pole eriti hea. Kuigi väidetavalt üritab ettevõte oma katmata alasid puhastada, jättis see haavatavuse siiski lahtiseks. See on mõnevõrra nagu oma maja uste vahetamine, kuid samade vanade lukkude jätmine, palju vaeva väikese tasu eest.
Avaldades hämmeldust sündmuste mängulusti üle, kirjutab Lynx:
https://twitter.com/Lynx0x00/status/1229740632773496832.Ma ei suuda siiani mõista, miks SlickWraps minuga lihtsalt ei suhelnud, et teada saada, kus asuvad alused haavatavused. Mind pettus järjest tõsisem asjaolu, et nad ei tegutsenud oma kohustuse kohaselt teavitada kliente privaatsuse rikkumisest. Selle andmerikkumise raskusastme mõistmiseks pange tähele, et klientidele ELis andmerikkumisest teatamise eiramine võib põhjustada haldustrahve kuni 20 miljonit eurot ehk neli protsenti ettevõtte ülemaailmsest aastakäibest - olenevalt sellest, kumb on kõrgem.
Viga on loomulik. Kõik teevad seda aeg-ajalt. Tõeline tähemõõdik on see, kuidas reageerite avastamisele. Mitmel viisil ebaõnnestus SlickWraps vibe kontrolli,
Parimad Androidi paroolihaldurid 2020. aastal
Kas olete kuulanud selle nädala Android Central Podcasti?
Igal nädalal toob Android Central Podcast teile tuttavad kaassaatejuhid ja erikülalised uusimad tehnoloogiauudised, analüüsid ja kuumad võtted.
- Telli taskuülekanded: Heli
- Telli Spotifys: Heli
- Telli iTunes'is: Heli
Võime teenida komisjonitasu ostude eest, kasutades meie linke. Lisateave.
Need on parimad traadita kõrvaklapid, mida saate iga hinnaga osta!
Parimad traadita kõrvaklapid on mugavad, kõlavad suurepäraselt, ei maksa liiga palju ja sobivad lihtsalt taskusse.
Kõik, mida peate teadma PS5 kohta: väljaandmise kuupäev, hind ja palju muud.
Sony on ametlikult kinnitanud, et töötab PlayStation 5-ga. Siin on kõik, mida me selle kohta siiani teame.
Nokia toob turule kaks uut eelarvelist Android One telefoni, mille hind on alla 200 dollari.
Nokia 2.4 ja Nokia 3.4 on HMD Globali eelarveliste nutitelefonide valiku viimased täiendused. Kuna mõlemad on Android One seadmed, saavad nad kaks peamist OS-i värskendust ja regulaarset turvavärskendust kuni kolmeks aastaks.
Need on Fitbit Sense ja Versa 3 parimad ansamblid.
Koos Fitbit Sense ja Versa 3 väljaandmisega tutvustas ettevõte ka uusi lõpmatusribasid. Oleme teie jaoks asjade lihtsustamiseks välja valinud parimad.