Turvallisuus on vaikeaa. Jopa Facebook ja Twitter, kuten kaikki siellä työskentelevät älykkäät ihmiset ja epäonnistumisen korkeat panokset, kokevat silti ajoittain tietorikkomuksia. Ei olisi yllättävää kuulla, että SlickWraps, yritys, joka tunnetaan suloisten kääreiden myynnistä puhelimeesi ja kannettaviin tietokoneisiisi, olisi kokenut oman haavoittuvuutensa.
Huolestuttavampaa on myös tapa, jolla yritys jätti tietämättään huomiotta aktiivisesti tietoturvatutkijan varoitukset ja välttää rikkomuksen ilmoittamista asiakkailleen EU: n lainsäädännön edellyttämällä tavalla.
Henkeäsalpaavassa kappaleessa, joka on täynnä käänteitä, Lynx0x00 jakoi koko surkea suhde Keskitaso.
Tässä on joitain merkittäviä otteita:
Kuinka hän pääsi SlickWraps-tietokantaan:
Tämä [puhelinkotelon mukauttaminen] -sivu sisälsi anteeksiantamattoman haavoittuvuuden: kuka tahansa, jolla on oikeus työkalupakki voi ladata minkä tahansa tiedoston mihin tahansa sijaintiin palvelimensa korkeimmassa hakemistossa (ts. "Web" juuri "). Sieltä ladattiin yksinkertainen .htaccess-tiedosto, joka mahdollistaa polun:
SlickWrapsin nykyisten ja entisten työntekijöiden (mukaan lukien selfiet, sähköpostiosoitteet, kotiosoitteet, puhelinnumerot jne.)
9 Gt henkilökohtaisia asiakaskuvia, ladattu SlickWraps-puhelinkotelon räätälöintityökalun kautta (sis. varmuuskopiot asiakkaiden lataamasta pornografiasta).
Johtuen SlickWrapsin räikeästä välinpitämättömyydestä minkään ilmeisen operatiivisen turvallisuuden suhteen, pystyin vaivattomasti saavuttamaan koodin etäsuorituskyvyn ja avaamaan kyvyn suorittaa komentoja komentotulkista. Aloittamattomille kyky suorittaa komentokomentoja on samanlainen kuin luurankoavaimen saaminen. Se avaa kaiken.
Valikoima asioita, joihin hän pääsi, sisälsi:
Pystyin lisäämään itseni heidän Zendesk-alustansa omistajaksi. Nyt kun minulla oli mahdollisuus vastaanottaa sähköposteja postilaatikkoon, joka oli sidottu useisiin SlickWraps-tileihin, lähetin yksinkertaisesti salasanan palautukset ja avasin edelleen lukituksen:
- Täysi pääsy yrityksen Slack-tiimiin - johon sisältyi 135 000 historiallista viestiä.
- Vaihtotilin saldot ja tapahtumalokit niiden maksuyhdyskäytäville (PayPal ja Braintree).
Huomasin, että heidän järjestelmänvalvojan paneeli (eli käyttöliittymä SlickWrapsin työntekijöille ja avainhenkilöille raporttien ja hallita SlickWraps-verkkosivuston sisältöä) suojasi huolettomasti turha palomuuri (muista: minulla oli "luuranko" avain "). Lisäsin itseni järjestelmänvalvojana ja sain heti täyden hallinnan heidän sisällönhallintajärjestelmään.
Pohjimmiltaan kuka tahansa haavoittuvuuteen päässyt voi tehdä haluamallaan tavalla SlickWraps-käyttäjien tiedoilla. Se on hyvin, hyvin, hyvin vakava rikkomus.
Verizon tarjoaa Pixel 4a: n vain 10 dollaria kuukaudessa uusille rajoittamattomille linjoille
Ei ole kuin SlickWraps ei tiennyt rikkomuksesta. Lynx kertoo useista yrityksistä saada yhteyttä heihin hienovaraisista suoriin. Joka kerta paitsi hänet hylätään, mutta SlickWraps-twitter-tili estää hänet lopulta kahdesti. Ei kovin hyvä ulkonäkö yritykselle. Vaikka yritys yrittää tiettävästi puhdistaa paljaita alueitaan, se jätti haavoittuvuuden avoimeksi. Se on jonkin verran kuin vaihdat talosi ovia, mutta jätät samat vanhat lukot, paljon vaivaa pienestä palkkiosta.
Lynx kirjoittaa hämmästyneisyyttä tapahtumien toistamisen suhteen:
https://twitter.com/Lynx0x00/status/1229740632773496832.En vieläkään ymmärrä, miksi SlickWraps ei yksinkertaisesti kommunikoinut kanssani oppiakseen, missä perustavan haavoittuvuudet ovat. Olin yhä turhautuneempi siitä, että he eivät noudattaneet velvollisuuttaan ilmoittaa asiakkaille yksityisyyden loukkaamisesta. Ymmärtääksesi tämän tietoturvaloukkauksen vakavuuden, huomaa, että asiakkaille EU: n alueella tapahtuvasta tietorikkomuksesta ilmoittamisen laiminlyönti voi johtaa jopa 20 miljoonan euron hallinnollisiin sakkoihin tai neljään prosenttiin yrityksen vuotuisesta vuotuisesta liikevaihdosta - kumpi tahansa korkeampi.
Virheen tekeminen on luonnollista. Kaikki tekevät sen aika ajoin. Todellinen hahmometriikka on tapa, jolla reagoit selvitykseen. SlickWraps epäonnistui tunnelman tarkistuksessa useammalla kuin yhdellä tavalla,
Parhaat salasanapäälliköt Androidille vuonna 2020
Oletko kuunnellut tämän viikon Android Central Podcastia?
Joka viikko Android Central Podcast tuo sinulle viimeisimmät tekniset uutiset, analyysit ja pikaviestit tuttujen isäntien ja erikoisvieraiden kanssa.
- Tilaa Pocket Casts: Audio
- Tilaa Spotify: Audio
- Tilaa iTunesissa: Audio
Voimme ansaita palkkion ostoksistamme linkkien avulla. Lisätietoja.
Nämä ovat parhaat langattomat nappikuulokkeet, joita voit ostaa joka hintaan!
Parhaat langattomat nappikuulokkeet ovat mukavia, kuulostavat hyviltä, eivät maksa liikaa ja sopivat helposti taskuun.
Kaikki mitä sinun tarvitsee tietää PS5: stä: Julkaisupäivä, hinta ja paljon muuta.
Sony on virallisesti vahvistanut työskentelevänsä PlayStation 5: llä. Tässä on kaikki mitä tiedämme siitä toistaiseksi.
Nokia tuo markkinoille kaksi uutta edullista Android One -puhelinta, joiden hinta on alle 200 dollaria.
Nokia 2.4 ja Nokia 3.4 ovat viimeisimmät lisäykset HMD Globalin budjetin älypuhelinten kokoonpanoon. Koska ne ovat molemmat Android One -laitteita, heille taataan kaksi merkittävää käyttöjärjestelmän päivitystä ja säännölliset tietoturvapäivitykset jopa kolmen vuoden ajan.
Nämä ovat parhaat Fitbit Sense- ja Versa 3 -bändit.
Fitbit Sense ja Versa 3: n julkaisemisen ohella yhtiö esitteli myös uusia ääretön yhtyeitä. Olemme valinneet parhaat, jotka helpottavat asioita.