Raksts

SlickWraps vietne ir pilna ar ievainojamību - un šķiet, ka viņiem tas nav vienalga

protection click fraud

Drošība ir grūta. Pat tādas firmas kā Facebook un Twitter kopā ar visiem gudrajiem cilvēkiem, kas tur strādā, un augsto likmju neveiksmes rezultātā, laiku pa laikam joprojām notiek datu pārkāpumi. Nebūtu pārsteidzoši uzzināt, ka uzņēmums SlickWraps, kas pazīstams ar to, ka pārdod jaukus iesaiņojumus jūsu tālrunim un klēpjdatoriem, būtu piedzīvojis pats savu ievainojamību.

Vēl vairāk attiecas uz to, kā firma ir centusies aktīvi ignorēt drošības pētnieka brīdinājumus un izvairīties no pārkāpuma paziņošanas klientiem, kā to prasa ES likumi.

Elpu aizraujošā gabalā, kas pilns ar līkločiem, Lynx0x00 dalījās ar visa dumja lieta Vidējs.

Šeit ir daži nozīmīgi fragmenti:

Par to, kā viņš ieguva piekļuvi SlickWraps datu bāzei:

Šajā [tālruņa lietu pielāgošanas] lapā bija nepiedodama ievainojamība: ikviens, kam ir tiesības rīkkopa varēja augšupielādēt jebkuru failu jebkurā vietā sava servera augstākajā direktorijā (t.i., "tīmeklī sakne "). No turienes tika augšupielādēts vienkāršs .htaccess fails, kas nodrošina ceļu uz:

  • Pašreizējo un bijušo SlickWraps darbinieku (ieskaitot Pašbildes, e-pasta adreses, mājas adreses, tālruņu numuri utt.)

  • 9 GB personīgo klientu fotoattēlu, kas augšupielādēti, izmantojot tālruņa korpusa pielāgošanas rīku SlickWraps (t.sk. klientu augšupielādētās pornogrāfijas dublējumkopijas).

Sakarā ar to, ka SlickWraps acīmredzami ignorēja jebkādu operatīvās drošības izskatu, es bez pūlēm spēju panākt attālu koda izpildi un atbloķēt spēju izpildīt čaulas komandas. Nezinātājiem spēja izpildīt čaulas komandas ir līdzīga skeleta atslēgas iegūšanai. Tas visu atslēdz.

Tika atlasītas lietas, kurām viņš varēja piekļūt:

Es varēju pievienot sevi kā viņu Zendesk platformas īpašnieku. Tagad, kad man bija iespēja saņemt e-pastus iesūtnē, kas bija saistīta ar vairākiem SlickWraps kontiem, es vienkārši nosūtīju paroles atiestatīšanu un tālāk atbloķēju:

  • Pilnīga piekļuve viņu uzņēmuma Slack komandai - tai, kurā bija 135 000 vēsturisko ziņojumu.
  • Norēķinu kontu atlikumi un to maksājumu vārteju darījumu žurnāli (PayPal un Braintree).

Es atklāju, ka viņu administratora panelis (t.i., saskarne SlickWraps darbiniekiem un vadītājiem ziņojumu sagatavošanai un pārvaldīt saturu vietnē SlickWraps) bezrūpīgi aizsargāja bezjēdzīgs ugunsmūris (atcerieties: man bija "skelets" atslēga "). Es pievienoju sevi kā administratora lietotāju un nekavējoties ieguvu pilnīgu kontroli pār viņu satura pārvaldības sistēmu.

Būtībā ikviens, kurš piekļuvis ievainojamībai, varētu darīt, kā patīk, izmantojot SlickWraps lietotāju datus. Tas ir ļoti, ļoti, ļoti nopietns pārkāpums.

Verizon piedāvā Pixel 4a tikai par USD 10 mēnesī jaunās Neierobežotās līnijās

https://twitter.com/Lynx0x00/status/1228856602649878530.

Nav tā, ka SlickWraps nezināja par pārkāpumu. Lūsis detalizēti apraksta vairākus mēģinājumus sazināties ar viņiem, sākot no smalkajiem līdz pat tiešajiem. Katru reizi viņu ne tikai noraida, bet arī SlickWraps twitter konts galu galā bloķē divreiz. Nav ļoti labs uzņēmuma izskats. Kaut arī tiek ziņots, ka firma mēģina sakopt savas atklātās vietas, tā tomēr ievainojamību atstāja atklātu. Tas ir nedaudz līdzīgi kā nomainīt savas mājas durvis, bet atstāt tās pašas vecās slēdzenes, daudz pūļu par nelielu atlīdzību.

Izsakot neizpratni par notikumu izspēli, Lūsis raksta:

Es joprojām nespēju aptvert, kāpēc SlickWraps vienkārši nesazinājās ar mani, lai uzzinātu, kur atrodas fundamentālās ievainojamības. Mani arvien vairāk sarūgtināja fakts, ka viņi nerīkojās atbilstoši savam pienākumam informēt klientus par privātuma pārkāpumiem. Lai saprastu šī datu pārkāpuma smagumu, ņemiet vērā, ka neatbilstība, paziņojot klientiem par datu pārkāpumu ES var izraisīt administratīvos sodus līdz 20 miljoniem eiro vai četriem procentiem no uzņēmuma gada gada apgrozījuma - atkarībā no tā, kurš ir augstāk.

https://twitter.com/Lynx0x00/status/1229740632773496832.

Kļūdīties ir dabiski. Ik pa laikam to dara visi. Patiesā rakstura metrika ir tas, kā jūs reaģējat uz to, lai uzzinātu. Vairākos veidos SlickWraps neizdevās pārbaudīt vibrāciju,

Labākie paroļu pārvaldnieki Android ierīcēm 2020. gadā

Vai esat klausījies šīs nedēļas Android Central Podcast?

Android Central

Katru nedēļu Android Central Podcast sniedz jums jaunākos tehnoloģiju jaunumus, analīzi un jaunākās ziņas ar pazīstamiem līdzzinātājiem un īpašajiem viesiem.

  • Abonējiet Pocket Casts: Audio
  • Abonēt Spotify: Audio
  • Abonējiet iTunes: Audio

Mēs varam nopelnīt komisiju par pirkumiem, izmantojot mūsu saites. Uzzināt vairāk.

Šie ir labākie bezvadu ausu uzgaļi, kurus varat iegādāties par katru cenu!
Ir pienācis laiks sagriezt vadu!

Šie ir labākie bezvadu ausu uzgaļi, kurus varat iegādāties par katru cenu!

Vislabākie bezvadu austiņu korpusi ir ērti, izklausās lieliski, neizmaksā pārāk daudz un viegli ietilpst kabatā.

Viss, kas jums jāzina par PS5: izlaišanas datums, cena un vēl vairāk
Nākošā paaudze

Viss, kas jums jāzina par PS5: izlaišanas datums, cena un vēl vairāk.

Sony ir oficiāli apstiprinājis, ka strādā pie PlayStation 5. Šeit ir viss, ko mēs par to zinām līdz šim.

Nokia izlaiž divus jaunus budžeta Android One tālruņus zem 200 USD
Jaunas Nokias

Nokia izlaiž divus jaunus budžeta Android One tālruņus zem 200 USD.

Nokia 2.4 un Nokia 3.4 ir jaunākie papildinājumi HMD Global budžeta viedtālruņu klāstā. Tā kā tās abas ir Android One ierīces, tiek garantēts, ka tās saņems divus galvenos OS atjauninājumus un regulārus drošības atjauninājumus līdz trim gadiem.

Šīs ir labākās grupas Fitbit Sense un Versa 3
Jauns un uzlabots

Šīs ir labākās grupas Fitbit Sense un Versa 3.

Paralēli Fitbit Sense un Versa 3 izlaišanai uzņēmums ieviesa arī jaunas bezgalības joslas. Mēs esam izvēlējušies labākos, lai jums būtu vieglāk.

instagram story viewer