La sécurité est difficile. Même des entreprises comme Facebook et Twitter, avec toutes les personnes intelligentes qui y travaillent et les enjeux élevés des échecs, subissent encore de temps en temps des violations de données. Il ne serait pas surprenant d'apprendre que SlickWraps, une société connue pour vendre de jolis papiers pour votre téléphone et vos ordinateurs portables, aurait connu sa propre vulnérabilité.
Ce qui est plus inquiétant, c'est la façon dont l'entreprise a fait tout son possible pour ignorer activement les avertissements d'un chercheur en sécurité et éviter de communiquer la violation à ses clients, comme l'exige la législation européenne.
Dans une pièce à couper le souffle pleine de rebondissements, Lynx0x00 a partagé le toute une affaire sordide sur Moyen.
Voici quelques extraits marquants:
Sur la façon dont il a eu accès à la base de données SlickWraps:
Cette page [personnalisation de la coque de téléphone] contenait une vulnérabilité inexcusable: toute personne ayant le droit toolkit pourrait télécharger n'importe quel fichier à n'importe quel emplacement dans le répertoire le plus élevé de leur serveur (c'est-à-dire le "web racine"). De là, un simple fichier .htaccess a été téléchargé, permettant un chemin vers:
CV des employés actuels et passés de SlickWraps (incl. selfies, adresses e-mail, adresses personnelles, numéros de téléphone, etc.)
9 Go de photos personnelles de clients, téléchargées via l'outil de personnalisation de la coque de téléphone SlickWraps (incl. sauvegardes de la pornographie téléchargée par le client).
En raison du mépris flagrant de SlickWraps pour tout semblant de sécurité opérationnelle, j'ai pu sans effort réaliser l'exécution de code à distance et débloquer la capacité d'exécuter des commandes shell. Pour les non-initiés, la possibilité d'exécuter des commandes shell s'apparente à l'obtention d'une clé squelette. Il déverrouille tout.
Une sélection de choses auxquelles il pouvait accéder comprenait:
J'ai pu m'ajouter en tant que propriétaire de leur plate-forme Zendesk. Maintenant que j'avais la possibilité de recevoir des e-mails dans une boîte de réception liée à plusieurs comptes SlickWraps, j'ai simplement envoyé des réinitialisations de mot de passe et déverrouillé davantage:
- Accès complet à leur équipe d'entreprise Slack - une qui contenait 135 000 messages historiques.
- Soldes des comptes courants et journaux de transactions pour leurs passerelles de paiement (PayPal et Braintree).
J'ai trouvé que leur panneau d'administration (c'est-à-dire l'interface pour les employés et les cadres de SlickWraps pour extraire des rapports et gérer le contenu sur le site Web SlickWraps) était négligemment protégé par un pare-feu inutile (rappelez-vous: j'avais le "squelette clé"). Je me suis ajouté en tant qu'utilisateur administrateur et j'ai immédiatement pris le contrôle total de leur système de gestion de contenu.
En substance, toute personne ayant accédé à la vulnérabilité peut faire ce qu'elle veut avec les données des utilisateurs de SlickWraps. C'est une violation très, très, très grave.
Verizon propose le Pixel 4a pour seulement 10 $ / mois sur les nouvelles lignes illimitées
Ce n'est pas comme si SlickWraps n'était pas au courant de la brèche. Lynx détaille plusieurs tentatives de contact avec eux, du plus subtil au plus direct. À chaque fois, non seulement il est repoussé, mais il est finalement bloqué par le compte Twitter SlickWraps deux fois. Pas un très bon look pour l'entreprise. Bien que l'entreprise essaie de nettoyer ses zones exposées, elle a tout de même laissé la vulnérabilité ouverte. C'est un peu comme changer les portes de votre maison mais en laissant les mêmes vieilles serrures, beaucoup d'efforts pour peu de récompense.
Exprimant sa perplexité face à la façon dont les événements se sont déroulés, Lynx écrit:
https://twitter.com/Lynx0x00/status/1229740632773496832.Je ne comprends toujours pas pourquoi SlickWraps n'a pas simplement communiqué avec moi pour savoir où se trouvaient les vulnérabilités fondamentales. Je devenais de plus en plus frustré par le fait qu'ils n'agissaient pas sur leur obligation d'informer les clients de la violation de la vie privée. Pour comprendre la gravité de cette violation de données, notez que le non-respect de la notification aux clients d'une violation de données au sein de l'UE peut entraîner des amendes administratives allant jusqu'à 20 millions d'euros, soit 4% du chiffre d'affaires annuel global d'une entreprise, selon la valeur plus haute.
Faire une erreur est naturel. Tout le monde le fait de temps en temps. La vraie métrique de caractère est la façon dont vous réagissez lorsque vous êtes découvert. À plus d'un titre, SlickWraps a échoué à la vérification des vibrations,
Meilleurs gestionnaires de mots de passe pour Android en 2020
Avez-vous écouté le podcast Android Central de cette semaine?
Chaque semaine, le podcast Android Central vous apporte les dernières nouvelles technologiques, des analyses et des prises de vue, avec des co-hôtes familiers et des invités spéciaux.
- Abonnez-vous à Pocket Casts: l'audio
- Abonnez-vous à Spotify: l'audio
- Abonnez-vous à iTunes: l'audio
Nous pouvons gagner une commission pour les achats en utilisant nos liens. Apprendre encore plus.
Ce sont les meilleurs écouteurs sans fil que vous pouvez acheter à tous les prix!
Les meilleurs écouteurs sans fil sont confortables, sonnent bien, ne coûtent pas trop cher et tiennent facilement dans une poche.
Tout ce que vous devez savoir sur la PS5: date de sortie, prix, etc.
Sony a officiellement confirmé qu'il fonctionnait sur la PlayStation 5. Voici tout ce que nous savons à ce sujet jusqu'à présent.
Nokia lance deux nouveaux téléphones Android One économiques de moins de 200 $.
Nokia 2.4 et Nokia 3.4 sont les derniers ajouts à la gamme de smartphones économiques de HMD Global. Comme ce sont tous les deux des appareils Android One, ils sont garantis de recevoir deux mises à jour majeures du système d'exploitation et des mises à jour de sécurité régulières pendant trois ans maximum.
Ce sont les meilleurs groupes pour Fitbit Sense et Versa 3.
Parallèlement à la sortie du Fitbit Sense et de la Versa 3, la société a également introduit de nouvelles bandes infinies. Nous avons sélectionné les meilleurs pour vous faciliter la tâche.