A segurança é difícil. Mesmo empresas como o Facebook e o Twitter, com todas as pessoas inteligentes que trabalham lá e os resultados de alto risco do fracasso, ainda sofrem violações de dados de vez em quando. Não seria surpreendente saber que a SlickWraps, uma empresa conhecida por vender embalagens fofas para telefones e laptops, teria experimentado uma vulnerabilidade própria.
O que é mais preocupante é a maneira como a empresa saiu de seu caminho para ignorar ativamente os avisos de um Pesquisador de Segurança e evitar comunicar a violação aos seus clientes, conforme exigido pela legislação da UE.
Em uma peça de tirar o fôlego, cheia de reviravoltas, Lynx0x00 compartilhou o todo caso sórdido em Médio.
Aqui estão alguns trechos importantes:
Sobre como ele obteve acesso ao banco de dados SlickWraps:
Esta página [personalização da capa do telefone] continha uma vulnerabilidade imperdoável: qualquer pessoa com o direito kit de ferramentas pode enviar qualquer arquivo para qualquer local no diretório mais alto em seu servidor (ou seja, o "web raiz"). A partir daí, um arquivo .htaccess simples foi carregado, permitindo um caminho para:
Currículos de funcionários atuais e anteriores do SlickWraps (incl. selfies, endereços de e-mail, endereços residenciais, números de telefone, etc.)
9 GB de fotos pessoais de clientes, enviadas por meio da ferramenta de personalização de capa de telefone SlickWraps (incl. backups de pornografia enviada por clientes).
Devido ao desprezo flagrante do SlickWraps por qualquer aparência de segurança operacional, fui capaz de alcançar a execução remota de código sem esforço e desbloquear a capacidade de executar comandos shell. Para os não iniciados, a capacidade de executar comandos do shell é semelhante a obter uma chave de esqueleto. Isso desbloqueia tudo.
Uma seleção de coisas que ele poderia acessar incluía:
Consegui me adicionar como proprietário da plataforma Zendesk. Agora que eu podia receber e-mails em uma caixa de entrada vinculada a várias contas do SlickWraps, simplesmente enviei redefinições de senha e desbloqueei mais:
- Acesso total à equipe corporativa do Slack - que continha 135.000 mensagens históricas.
- Saldos de contas correntes e registros de transações para seus gateways de pagamento (PayPal e Braintree).
Eu descobri que seu painel de administrador (ou seja, a interface para funcionários e executivos do SlickWraps para obter relatórios e gerenciar conteúdo no site do SlickWraps) foi protegido por um firewall inútil (lembre-se: eu tinha o "esqueleto chave"). Eu me adicionei como um usuário administrador e imediatamente ganhei controle total sobre o sistema de gerenciamento de conteúdo.
Em essência, qualquer pessoa que acessou a vulnerabilidade pode fazer o que quiser com os dados dos usuários do SlickWraps. É uma violação muito, muito séria.
A Verizon está oferecendo o Pixel 4a por apenas US $ 10 / mês nas novas linhas Unlimited
Não é como se o SlickWraps não soubesse da violação. Lynx detalha várias tentativas de contato com eles, das sutis às muito diretas. Cada vez, ele não é apenas rejeitado, mas eventualmente bloqueado pela conta do Twitter do SlickWraps duas vezes. Não é um visual muito bom para a empresa. Embora a empresa esteja supostamente tentando limpar suas áreas expostas, ela ainda deixou a vulnerabilidade aberta. É mais ou menos como trocar as portas de sua casa, mas deixando as mesmas velhas fechaduras, muito esforço por pouca recompensa.
Expressando perplexidade com a forma como os eventos ocorreram, Lynx escreve:
https://twitter.com/Lynx0x00/status/1229740632773496832.Ainda não consigo entender por que o SlickWraps simplesmente não se comunicou comigo para saber onde estavam as vulnerabilidades fundamentais. Eu estava ficando cada vez mais frustrado com o fato de que eles não cumpriam sua obrigação de informar os clientes sobre a violação de privacidade. Para entender a gravidade dessa violação de dados, observe que o não cumprimento da notificação de clientes de uma violação de dados dentro da UE pode resultar em multas administrativas de até € 20 milhões, ou quatro por cento do faturamento anual global de uma empresa - o que for superior.
Cometer um erro é natural. Todo mundo faz isso de vez em quando. A verdadeira métrica do caráter é como você reage ao ser descoberto. Em mais de um aspecto, o SlickWraps falhou na verificação de vibe,
Melhores gerenciadores de senha para Android em 2020
Você já ouviu o podcast central do Android desta semana?
Todas as semanas, o Android Central Podcast traz as últimas notícias de tecnologia, análises e cenas importantes, com co-apresentadores familiares e convidados especiais.
- Inscreva-se no Pocket Casts: Áudio
- Inscreva-se no Spotify: Áudio
- Inscreva-se no iTunes: Áudio
Podemos ganhar uma comissão por compras usando nossos links. Saber mais.
Estes são os melhores fones de ouvido sem fio que você pode comprar a qualquer preço!
Os melhores fones de ouvido sem fio são confortáveis, têm um ótimo som, não custam muito e cabem facilmente no bolso.
Tudo o que você precisa saber sobre o PS5: data de lançamento, preço e muito mais.
A Sony confirmou oficialmente que está trabalhando no PlayStation 5. Aqui está tudo o que sabemos sobre isso até agora.
A Nokia lança dois novos telefones Android One de baixo custo abaixo de $ 200
Nokia 2.4 e Nokia 3.4 são as mais recentes adições à linha de smartphones baratos da HMD Global. Como ambos são dispositivos Android One, eles têm a garantia de receber duas atualizações importantes do sistema operacional e atualizações regulares de segurança por até três anos.
Estas são as melhores bandas para o Fitbit Sense e Versa 3.
Junto com o lançamento do Fitbit Sense e do Versa 3, a empresa também lançou novas bandas de infinito. Escolhemos os melhores para tornar as coisas mais fáceis para você.