Keamanan itu sulit. Bahkan perusahaan seperti Facebook dan Twitter, dengan semua orang pintar yang bekerja di sana dan risiko tinggi akibat kegagalan, masih mengalami pelanggaran data dari waktu ke waktu. Tidaklah mengherankan mengetahui bahwa SlickWraps, sebuah perusahaan yang terkenal menjual bungkus lucu untuk ponsel dan laptop Anda, akan mengalami kerentanannya sendiri.
Yang lebih memprihatinkan adalah cara perusahaan berusaha keras untuk secara aktif mengabaikan peringatan dari Peneliti Keamanan dan menghindari mengkomunikasikan pelanggaran tersebut kepada pelanggannya, seperti yang diwajibkan oleh Undang-Undang Uni Eropa.
Dalam karya menakjubkan yang penuh liku-liku, Lynx0x00 membagikan seluruh urusan kotor Medium.
Berikut beberapa kutipan penting:
Tentang bagaimana dia mendapatkan akses ke database SlickWraps:
Halaman [kustomisasi casing ponsel] ini berisi kerentanan yang tidak dapat dimaafkan: siapa pun yang memiliki hak toolkit dapat mengunggah file apa pun ke lokasi mana pun di direktori tertinggi di server mereka (yaitu "web akar"). Dari sana, file .htaccess sederhana diunggah, memungkinkan jalur ke:
Resume karyawan SlickWraps saat ini dan sebelumnya (termasuk. selfie, alamat email, alamat rumah, nomor telepon, dll.)
9GB foto pelanggan pribadi, diunggah melalui alat kustomisasi casing ponsel SlickWraps (termasuk. cadangan pornografi yang diupload pelanggan).
Karena SlickWraps mengabaikan keamanan operasional secara mencolok, saya dengan mudah dapat mencapai eksekusi kode jarak jauh dan membuka kunci kemampuan untuk menjalankan perintah shell. Bagi yang belum tahu, kemampuan untuk mengeksekusi perintah shell mirip dengan mendapatkan kunci kerangka. Ini membuka semuanya.
Pilihan hal yang dapat dia akses termasuk:
Saya dapat menambahkan diri saya sebagai Pemilik platform Zendesk mereka. Sekarang saya memiliki kemampuan untuk menerima email di kotak masuk yang terkait dengan beberapa akun SlickWraps, saya hanya mengirim pengaturan ulang kata sandi dan selanjutnya membuka:
- Akses penuh ke tim Slack perusahaan mereka - tim yang memiliki 135.000 pesan historis yang terkandung di dalamnya.
- Saldo rekening saat ini dan log transaksi untuk gateway pembayaran mereka (PayPal dan Braintree).
Saya menemukan bahwa panel administrator mereka (yaitu antarmuka untuk karyawan dan eksekutif SlickWraps untuk menarik laporan dan mengelola konten di situs web SlickWraps) dilindungi secara sembarangan oleh firewall yang tidak berguna (ingat: saya memiliki "kerangka kunci"). Saya menambahkan diri saya sebagai pengguna admin dan segera mendapatkan kendali penuh atas sistem manajemen konten mereka.
Intinya, siapa pun yang mengakses kerentanan dapat melakukan apa pun yang mereka suka dengan data pengguna SlickWraps. Ini pelanggaran yang sangat, sangat, sangat serius.
Verizon menawarkan Pixel 4a hanya dengan $ 10 / bln pada jalur Unlimited baru
Ini tidak seperti SlickWraps tidak menyadari pelanggaran tersebut. Lynx merinci beberapa upaya untuk melakukan kontak dengan mereka, dari yang halus hingga yang sangat langsung. Setiap kali, tidak hanya dia ditolak, tetapi dia akhirnya diblokir oleh akun twitter SlickWraps dua kali. Bukan penampilan yang bagus untuk perusahaan. Sementara perusahaan tersebut dilaporkan mencoba untuk membersihkan area yang terbuka, kerentanannya tetap terbuka. Ini seperti mengganti pintu rumah Anda tetapi meninggalkan kunci lama yang sama, banyak usaha untuk mendapatkan sedikit imbalan.
Mengekspresikan kebingungan pada cara acara dimainkan, Lynx menulis:
https://twitter.com/Lynx0x00/status/1229740632773496832.Saya masih tidak dapat memahami mengapa SlickWraps tidak hanya berkomunikasi dengan saya untuk mempelajari di mana letak kerentanan mendasar. Saya semakin frustrasi dengan fakta bahwa mereka tidak bertindak atas kewajiban mereka untuk memberi tahu pelanggan tentang pelanggaran privasi. Untuk memahami beratnya pelanggaran data ini, perhatikan bahwa ketidakpatuhan memberi tahu pelanggan tentang pelanggaran data di dalam UE dapat mengakibatkan denda administratif hingga € 20 juta, atau empat persen dari omset tahunan global perusahaan - mana saja lebih tinggi.
Membuat kesalahan itu wajar. Setiap orang melakukannya dari waktu ke waktu. Metrik karakter sebenarnya adalah bagaimana Anda menanggapi ketahuan. Dalam lebih dari satu cara, SlickWraps gagal dalam pemeriksaan getaran,
Pengelola Kata Sandi Terbaik untuk Android pada tahun 2020
Sudahkah Anda mendengarkan Podcast Pusat Android minggu ini?
Setiap minggu, Android Central Podcast menghadirkan berita teknologi terbaru, analisis, dan pengambilan gambar keren, dengan co-host yang sudah dikenal dan tamu istimewa.
- Berlangganan di Pocket Casts: Audio
- Berlangganan di Spotify: Audio
- Berlangganan di iTunes: Audio
Kami dapat memperoleh komisi untuk pembelian menggunakan tautan kami. Belajarlah lagi.
Ini adalah earbud nirkabel terbaik yang dapat Anda beli dengan harga berapa pun!
Earbud nirkabel terbaik nyaman, terdengar bagus, tidak mahal, dan mudah dimasukkan ke dalam saku.
Semua yang perlu Anda ketahui tentang PS5: Tanggal rilis, harga, dan lainnya.
Sony secara resmi telah mengonfirmasi bahwa mereka sedang mengerjakan PlayStation 5. Inilah yang kami ketahui sejauh ini.
Nokia meluncurkan dua ponsel Android One anggaran baru di bawah $ 200.
Nokia 2.4 dan Nokia 3.4 adalah tambahan terbaru dalam jajaran smartphone anggaran HMD Global. Karena keduanya merupakan perangkat Android One, mereka dijamin akan menerima dua pembaruan OS utama dan pembaruan keamanan reguler hingga tiga tahun.
Ini adalah band terbaik untuk Fitbit Sense dan Versa 3.
Bersamaan dengan rilisnya Fitbit Sense dan Versa 3, perusahaan juga memperkenalkan infinity band baru. Kami telah memilih yang terbaik untuk mempermudah Anda.