सुरक्षा कड़ी है। यहां तक कि फ़ेसबुक और ट्विटर जैसी फर्में, वहां काम करने वाले सभी स्मार्ट लोगों के साथ और उच्च स्तर की विफलता के परिणाम, अभी भी समय-समय पर डेटा उल्लंघनों का अनुभव करती हैं। यह जानकर हैरानी नहीं होगी कि आपके फोन और लैपटॉप के लिए क्यूट रैप बेचने के लिए जानी जाने वाली कंपनी SlickWraps ने खुद की भेद्यता का अनुभव किया होगा।
क्या अधिक है जिस तरह से फर्म एक सुरक्षा शोधकर्ता से चेतावनियों को सक्रिय रूप से अनदेखा करने और यूरोपीय संघ के कानून द्वारा आवश्यक के रूप में अपने ग्राहकों को उल्लंघन से बचने के लिए अपने रास्ते से बाहर चला गया है।
ट्विस्ट और टर्न से भरे एक लुभावने टुकड़े में, Lynx0x00 ने साझा किया पूरे व्यंग्य पर मध्यम.
यहाँ कुछ मुख्य अंश हैं:
कैसे उसे SlickWraps डेटाबेस तक पहुँच मिली:
इस [फोन केस कस्टमाइज़ेशन] पेज में एक अक्षम्य भेद्यता थी: किसी का भी अधिकार टूलकिट अपने सर्वर (यानी "वेब" पर उच्चतम निर्देशिका में किसी भी स्थान पर कोई भी फ़ाइल अपलोड कर सकता है जड़ ")। वहाँ से, एक सरल .htaccess फ़ाइल अपलोड की गई, जिससे एक पथ को सक्षम किया गया:
वर्तमान और भूतपूर्व SlickWraps कर्मचारियों (incl) का रिज्यूमे। सेल्फी, ईमेल पते, घर के पते, फोन नंबर, आदि)
9GB व्यक्तिगत ग्राहक फ़ोटो, SlickWraps फ़ोन केस कस्टमाइज़ेशन टूल (incl) के माध्यम से अपलोड किया गया। ग्राहक-अपलोड पोर्नोग्राफी के बैकअप)।
परिचालन सुरक्षा की किसी भी झलक के लिए स्लीकवॅर्प्स के कठोर अवहेलना के कारण, मैं सहजता से दूरस्थ कोड निष्पादन प्राप्त करने और शेल कमांड निष्पादित करने की क्षमता को अनलॉक करने में सक्षम था। असिंचित के लिए, शेल कमांड निष्पादित करने की क्षमता एक कंकाल कुंजी प्राप्त करने के लिए समान है। यह सब कुछ अनलॉक करता है।
जिन चीजों तक वह पहुंच सकता है उनमें से एक का चयन:
मैं खुद को उनके Zendesk मंच के मालिक के रूप में जोड़ने में सक्षम था। अब जब मेरे पास एक ऐसे इनबॉक्स में ईमेल प्राप्त करने की क्षमता थी जो कई स्लीकवार्क्स खातों से बंधा था, मैंने बस पासवर्ड रीसेट किए और आगे अनलॉक किया:
- उनकी कॉरपोरेट स्लैक टीम तक पूरी पहुँच - एक जिसके पास 135,000 ऐतिहासिक संदेश थे।
- उनके भुगतान गेटवे (पेपाल और ब्रेइंट्री) के लिए चालू खाता शेष और लेनदेन लॉग।
मैंने पाया कि उनका एडमिनिस्ट्रेटर पैनल (यानी स्लिकवॅर्प्स के कर्मचारियों और अधिकारियों के लिए इंटरफेस) रिपोर्ट खींचने के लिए और SlickWraps वेबसाइट पर सामग्री का प्रबंधन) लापरवाही से एक व्यर्थ फ़ायरवॉल द्वारा संरक्षित किया गया था (याद रखें: मेरे पास "कंकाल" था चाभी")। मैंने खुद को एक व्यवस्थापक उपयोगकर्ता के रूप में जोड़ा और अपनी सामग्री प्रबंधन प्रणाली पर तुरंत पूर्ण नियंत्रण प्राप्त कर लिया।
संक्षेप में, जो कोई भी भेद्यता को एक्सेस कर सकता है, जैसा कि वे SlickWraps उपयोगकर्ताओं के डेटा के साथ कर सकते हैं। यह बहुत, बहुत, बहुत गंभीर उल्लंघन है।
Verizon, नई असीमित लाइनों पर $ 10 / मो के लिए Pixel 4a की पेशकश कर रहा है
ऐसा नहीं है कि SlickWraps उल्लंघन से अनजान थे। सूक्ष्म से लेकर बहुत प्रत्यक्ष तक लिंक्स ने उनके साथ संपर्क बनाने के कई प्रयासों का विवरण दिया है। हर बार, न केवल उसे फटकार लगाई जाती है, बल्कि अंततः उसे स्लीकवार्क्स ट्विटर अकाउंट द्वारा दो बार ब्लॉक कर दिया जाता है। कंपनी के लिए बहुत अच्छा लुक नहीं। जबकि कथित तौर पर फर्म अपने उजागर क्षेत्रों को साफ करने की कोशिश कर रही है, फिर भी इसने भेद्यता को खुला छोड़ दिया है। यह कुछ हद तक आपके घर के दरवाजों को बदलने जैसा है, लेकिन उसी पुराने ताले को छोड़कर, थोड़ा इनाम के लिए बहुत प्रयास किया जाता है।
जिस तरह से खेली गई घटनाओं पर दुःख व्यक्त करते हुए, लिंक्स लिखते हैं:
https://twitter.com/Lynx0x00/status/1229740632773496832.मैं अभी भी समझ नहीं पा रहा हूं कि SlickWraps ने केवल यह जानने के लिए मेरे साथ संवाद नहीं किया कि मूलभूत कमजोरियां कहां हैं। मैं इस तथ्य से तेजी से निराश हो रहा था कि वे गोपनीयता भंग करने वाले ग्राहकों को सूचित करने के लिए अपने दायित्व पर काम नहीं कर रहे थे। इस डेटा ब्रीच के गुरुत्व को समझने के लिए, ध्यान दें कि यूरोपीय संघ के भीतर डेटा ब्रीच के ग्राहकों को सूचित न करने का अनुपालन न करना € 20 मिलियन तक के प्रशासनिक जुर्माना या कंपनी के वैश्विक वार्षिक कारोबार का चार प्रतिशत हो सकता है - जो भी हो अधिक है।
गलती करना स्वाभाविक है। हर कोई इसे समय-समय पर करता है। सच्चा चरित्र मीट्रिक है कि आप कैसे पता लगाया जा रहा है का जवाब देते हैं। एक से अधिक तरीकों से, SlickWraps ने वाइब चेक को विफल कर दिया,
2020 में एंड्रॉइड के लिए सर्वश्रेष्ठ पासवर्ड प्रबंधक
क्या आपने इस सप्ताह के एंड्रॉइड सेंट्रल पॉडकास्ट के बारे में सुना है?
हर हफ्ते, एंड्रॉइड सेंट्रल पॉडकास्ट आपको परिचित सह-मेजबान और विशेष मेहमानों के साथ नवीनतम तकनीक समाचार, विश्लेषण और गर्म लेता है।
- पॉकेट कास्ट में सदस्यता लें: ऑडियो
- Spotify में सदस्यता लें: ऑडियो
- ITunes में सदस्यता लें: ऑडियो
हम अपने लिंक का उपयोग करके खरीदारी के लिए कमीशन कमा सकते हैं। और अधिक जानें.
ये सबसे अच्छे वायरलेस ईयरबड्स हैं जिन्हें आप हर कीमत पर खरीद सकते हैं!
सबसे अच्छा वायरलेस ईयरबड आरामदायक, शानदार ध्वनि, बहुत अधिक लागत नहीं है, और आसानी से जेब में फिट होते हैं।
PS5 के बारे में आपको जो कुछ भी जानना है: रिलीज की तारीख, मूल्य, और बहुत कुछ।
सोनी ने आधिकारिक तौर पर पुष्टि की है कि यह PlayStation 5 पर काम कर रहा है। यहां हम सब कुछ जानते हैं जो अब तक इसके बारे में है।
नोकिया ने $ 200 के तहत दो नए बजट Android One फोन लॉन्च किए।
एचएमडी ग्लोबल के बजट स्मार्टफोन लाइनअप में नोकिया 2.4 और नोकिया 3.4 नवीनतम जोड़ हैं। चूंकि वे दोनों एंड्रॉइड वन डिवाइस हैं, इसलिए उन्हें दो प्रमुख ओएस अपडेट और तीन साल तक नियमित सुरक्षा अपडेट प्राप्त करने की गारंटी है।
फिटबिट सेंस और वर्सा 3 के लिए ये बेहतरीन बैंड हैं।
फिटबिट सेंस और वर्सा 3 की रिलीज के साथ, कंपनी ने नए इन्फिनिटी बैंड भी पेश किए। हमने आपके लिए चीजों को आसान बनाने के लिए सर्वश्रेष्ठ लोगों को चुना है।