Sikkerhet er vanskelig. Selv firmaer som Facebook og Twitter, med alle de smarte menneskene som jobber der og de høye innsatsresultatene for fiasko, opplever fremdeles datainnbrudd. Det ville ikke være overraskende å høre at SlickWraps, et selskap som er kjent for å selge søt wrap til telefonen og bærbare datamaskiner, ville ha opplevd en egen sårbarhet.
Det som er mer bekymringsfullt er måten firmaet gikk ut av å aktivt ignorere advarsler fra en sikkerhetsforsker og unngå å kommunisere bruddet til sine kunder, slik EU-loven krever.
I et fantastisk stykke fullt av vendinger, delte Lynx0x00 hele sordid affære på Medium.
Her er noen fremtredende utdrag:
Om hvordan han fikk tilgang til SlickWraps-databasen:
Denne [tilpasning av telefonsaker] -siden inneholdt et unnskyldelig sårbarhet: alle med rett verktøykasse kunne laste opp hvilken som helst fil til et hvilket som helst sted i den høyeste katalogen på serveren deres (dvs. "nettet" rot"). Derfra ble en enkel .htaccess-fil lastet opp, som muliggjør en bane til:
CV av nåværende og tidligere SlickWraps-ansatte (inkl. selfies, e-postadresser, hjemmeadresser, telefonnumre, etc.)
9 GB personlige kundebilder, lastet opp via SlickWraps tilpasningsverktøy for telefonveske (inkl. sikkerhetskopier av kundeopplastet pornografi).
På grunn av SlickWraps 'åpenbare tilsidesettelse av noen form for operativ sikkerhet, var jeg uten problemer i stand til å oppnå ekstern kjøring av kode og låse opp muligheten til å utføre skallkommandoer. For uinnvidde er evnen til å utføre skallkommandoer lik å skaffe en skjelettnøkkel. Det låser opp alt.
Et utvalg av ting han kunne få tilgang til inkluderte:
Jeg var i stand til å legge meg til som eier av deres Zendesk-plattform. Nå som jeg hadde muligheten til å motta e-post i en innboks som var knyttet til flere SlickWraps-kontoer, sendte jeg ganske enkelt tilbakestillinger av passord og videre ulåst:
- Full tilgang til deres bedriftens Slack-team - en som hadde 135 000 historiske meldinger inneholdt i den.
- Nåværende kontosaldoer og transaksjonslogger for deres betalingsportaler (PayPal og Braintree).
Jeg fant ut at deres administratorpanel (dvs. grensesnittet for ansatte og ledere for SlickWraps for å hente rapporter og administrere innhold på nettstedet SlickWraps) ble uforsiktig beskyttet av en meningsløs brannmur (husk: Jeg hadde "skjelettet nøkkel"). Jeg la til meg selv som administratorbruker og fikk umiddelbart full kontroll over innholdsstyringssystemet deres.
I hovedsak kan alle som har tilgang til sårbarheten gjøre som de vil med SlickWraps-brukernes data. Det er et veldig, veldig, veldig alvorlig brudd.
Verizon tilbyr Pixel 4a for bare $ 10 per måned på nye ubegrensede linjer
Det er ikke slik at SlickWraps var uvitende om bruddet. Lynx beskriver flere forsøk på å få kontakt med dem, fra det subtile til det direkte. Hver gang blir han ikke bare avvist, men han blir til slutt blokkert av SlickWraps twitter-kontoen to ganger. Ikke et veldig bra utseende for selskapet. Mens firmaet angivelig prøver å rydde opp i utsatte områder, lot det fortsatt sårbarheten være åpen. Det er litt som å bytte dører til huset ditt, men å legge igjen de samme gamle låser, mye innsats for liten belønning.
Lynx uttrykker forvirring over hvordan hendelsene spilte ut, skriver:
https://twitter.com/Lynx0x00/status/1229740632773496832.Jeg kan fortsatt ikke forstå hvorfor SlickWraps ikke bare kommuniserte med meg for å lære hvor grunnleggende sårbarheter lå. Jeg ble stadig mer frustrert over det faktum at de ikke handlet i henhold til deres forpliktelse til å informere kunder om personvernbruddet. For å forstå alvoret av dette databruddet, vær oppmerksom på at manglende overholdelse av å varsle kunder om et brudd i EU kan føre til administrative bøter på opptil € 20 millioner, eller fire prosent av selskapets globale årlige omsetning - avhengig av hva som er høyere.
Å gjøre en feil er naturlig. Alle gjør det fra tid til annen. Den sanne karakterverdien er hvordan du reagerer på å bli funnet ut. På flere måter enn en mislyktes SlickWraps i vibe-sjekken,
Beste passordbehandlere for Android i 2020
Har du lyttet til denne ukens Android Central Podcast?
Hver uke gir Android Central Podcast deg de siste tekniske nyhetene, analysene og hot-takene, med kjente medvert og spesielle gjester.
- Abonner i Pocket Cast: Lyd
- Abonner i Spotify: Lyd
- Abonner i iTunes: Lyd
Vi kan tjene en provisjon for kjøp ved hjelp av linkene våre. Lære mer.
Dette er de beste trådløse ørepluggene du kan kjøpe til enhver pris!
De beste trådløse øreproppene er komfortable, høres bra ut, koster ikke for mye og passer lett i lommen.
Alt du trenger å vite om PS5: Utgivelsesdato, pris og mer.
Sony har offisielt bekreftet at de jobber med PlayStation 5. Her er alt vi vet om det så langt.
Nokia lanserer to nye budsjett Android One-telefoner under $ 200.
Nokia 2.4 og Nokia 3.4 er de siste tilskuddene til HMD Globals budsjett for smarttelefoner. Siden de begge er Android One-enheter, vil de garantert motta to store OS-oppdateringer og vanlige sikkerhetsoppdateringer i opptil tre år.
Dette er de beste bandene for Fitbit Sense og Versa 3.
Sammen med utgivelsen av Fitbit Sense og Versa 3 introduserte selskapet også nye uendelige band. Vi har plukket ut de beste for å gjøre ting enklere for deg.