האבטחה קשה. אפילו חברות כמו פייסבוק וטוויטר, עם כל האנשים החכמים שעובדים שם והתוצאות הגבוהות של כישלון, עדיין חוות הפרות נתונים מעת לעת. זה לא יהיה מפתיע ללמוד כי חברת SlickWraps, הידועה במכירת עטיפות חמודות לטלפון ולמחשבים הניידים שלך, הייתה חווה פגיעות משל עצמה.
מה שמדאיג יותר הוא האופן בו החברה יצאה מגדרתה להתעלם באופן פעיל מהאזהרות של חוקר אבטחה ולהימנע מהעברת הפרה ללקוחותיה, כנדרש בחוק האיחוד האירופי.
בקטע עוצר נשימה מלא בפיתולים, Lynx0x00 שיתף את כל העניין הקשה בינוני.
להלן מספר קטעים בולטים:
כיצד קיבל גישה למסד הנתונים של SlickWraps:
דף זה [התאמה אישית של מקרה הטלפון] הכיל פגיעות בלתי ניתנת לנימוק: כל מי שיש לו את הזכות ערכת הכלים יכולה להעלות כל קובץ לכל מקום בספרייה הגבוהה ביותר בשרת שלהם (כלומר "האינטרנט" שורש"). משם הועלה קובץ .htaccess פשוט המאפשר נתיב ל:
קורות חיים של עובדי SlickWraps בהווה ובעבר (כולל תמונות סלפי, כתובות דוא"ל, כתובות בית, מספרי טלפון וכו ')
9 ג'יגה תמונות של לקוחות אישיים, הועלו באמצעות הכלי להתאמה אישית של מארז הטלפון SlickWraps (כולל גיבויים של פורנוגרפיה שהועלתה על ידי הלקוח).
בגלל ההתעלמות הבוטה של SlickWraps מכל מראית עין של אבטחה מבצעית, הצלחתי ללא מאמץ להשיג ביצוע קוד מרחוק ולפתוח את היכולת לבצע פקודות פגז. עבור הלא יזמים, היכולת לבצע פקודות פגז דומה להשגת מפתח שלד. זה פותח את הכל.
מבחר דברים שאליהם יכול היה לגשת כלל:
הצלחתי להוסיף את עצמי כבעלים של פלטפורמת Zendesk שלהם. כעת, לאחר שהייתה לי אפשרות לקבל הודעות דוא"ל בתיבת הדואר הנכנס שקשורות למספר חשבונות SlickWraps, פשוט שלחתי איפוס סיסמאות ונפתח עוד יותר:
- גישה מלאה לצוות Slack הארגוני שלהם - אחד שהיה בו 135,000 מסרים היסטוריים.
- יתרות חשבונות שוטפות ויומני עסקאות עבור שערי התשלום שלהם (PayPal ו- Braintree).
מצאתי כי פאנל הניהול שלהם (כלומר הממשק לעובדי ומנהלי SlickWraps לשליחת דוחות ו לנהל תוכן באתר SlickWraps) היה מוגן ברישול על ידי חומת אש חסרת טעם (זכור: היה לי את השלד " מַפְתֵחַ"). הוספתי את עצמי כמשתמש מנהל וקיבלתי מיד שליטה מלאה במערכת ניהול התוכן שלהם.
בעיקרו של דבר, כל מי שניגש לפגיעות יכול היה לעשות כרצונו בנתוני המשתמשים של SlickWraps. זו הפרה מאוד מאוד מאוד חמורה.
Verizon מציעה את פיקסל 4a במחיר של 10 דולר לחודש בלבד בקווים חדשים ללא הגבלה
זה לא כאילו SlickWraps לא היו מודעים להפרה. Lynx מפרט כמה ניסיונות ליצור איתם קשר, מהעדן ועד הישיר מאוד. בכל פעם, לא רק שהוא נדחה, אלא שבסופו של דבר הוא נחסם על ידי חשבון הטוויטר SlickWraps פעמיים. לא נראה טוב מאוד עבור החברה. בעוד שלפי הדיווחים החברה מנסה לנקות את האזורים החשופים שלה, היא עדיין הותירה את הפגיעות פתוחה. זה קצת כמו להחליף את דלתות הבית שלך אבל להשאיר את אותם מנעולים ישנים, הרבה מאמץ תמורת מעט תגמול.
Lynx מביע תמיהה על האופן שבו האירועים התרחשו, כותב:
https://twitter.com/Lynx0x00/status/1229740632773496832.אני עדיין לא יכול להבין מדוע SlickWraps לא פשוט תקשר איתי כדי ללמוד היכן טמונה הפגיעות הבסיסית. הייתי מתוסכל יותר ויותר מהעובדה שהם לא פועלים על פי חובתם ליידע את הלקוחות על הפרת הפרטיות. כדי להבין את חומרתה של הפרת נתונים זו, שים לב כי אי ציות להודיע ללקוחות על הפרת נתונים באיחוד האירופי עלול לגרום לקנסות מנהליים של עד 20 מיליון יורו, או לארבעה אחוזים מהמחזור השנתי העולמי של החברה - מביניהם גבוה יותר.
לטעות זה טבעי. כולם עושים את זה מדי פעם. מדד האופי האמיתי הוא איך אתה מגיב להתגלות. ביותר ממובן אחד, SlickWraps נכשלה בבדיקת האווירה,
מנהלי הסיסמאות הטובים ביותר לאנדרואיד בשנת 2020
האם האזנת לפודקאסט המרכזי של Android השבוע?
מדי שבוע ה- Podcast המרכזי של Android מביא לכם את החדשות הטכנולוגיות האחרונות, ניתוחים וצילומים חמים, עם מארחים משותפים מוכרים ואורחים מיוחדים.
- הירשם כמלה בכיס: שֶׁמַע
- הירשם ב- Spotify: שֶׁמַע
- הירשם ב- iTunes: שֶׁמַע
אנו עשויים להרוויח עמלה על רכישות באמצעות הקישורים שלנו. למד עוד.
אלה האוזניות האלחוטיות הטובות ביותר שאתה יכול לקנות בכל מחיר!
האוזניות האלחוטיות הטובות ביותר נוחות, נשמעות נהדר, לא עולות יותר מדי ונכנסות בקלות לכיס.
כל מה שאתה צריך לדעת על PS5: תאריך פרסום, מחיר ועוד.
סוני אישרה רשמית שהיא עובדת על פלייסטיישן 5. הנה כל מה שאנחנו יודעים עליו עד כה.
נוקיה משיקה שני טלפונים חדשים של Android One עם פחות תקציב של 200 דולר.
נוקיה 2.4 ונוקיה 3.4 הן התוספות האחרונות למערך הסמארטפונים התקציביים של HMD Global. מכיוון ששניהם מכשירי Android One, מובטח שהם יקבלו שני עדכוני מערכת הפעלה מרכזיים ועדכוני אבטחה קבועים עד שלוש שנים.
אלה הלהקות הטובות ביותר עבור Fitbit Sense ו- Versa 3.
לצד יציאתם של ה- Fitbit Sense ו- Versa 3, הציגה החברה גם להקות אינסוף חדשות. בחרנו את הטובים ביותר כדי להקל עליך.