Zabezpečenie je ťažké. Aj firmy ako Facebook a Twitter, so všetkými šikovnými ľuďmi, ktorí tam pracujú, a s vysokými výsledkami neúspechu, stále občas zaznamenajú narušenie údajov. Nebolo by prekvapením, keby ste sa dozvedeli, že SlickWraps, spoločnosť známa tým, že predáva roztomilé obaly pre váš telefón a notebooky, by sama zažila zraniteľnosť.
Čo sa týka ešte viac, je spôsobu, akým sa spoločnosť dostala z cesty, keď aktívne ignorovala varovania bezpečnostného výskumníka a vyhla sa informovaniu o porušení svojich zákazníkov, ako to vyžaduje zákon EÚ.
V úchvatnom kúsku plnom zvratov sa Lynx0x00 podelila o celú špinavú záležitosť dňa Stredná.
Tu je niekoľko významných výňatkov:
O tom, ako získal prístup do databázy SlickWraps:
Táto stránka [prispôsobenie puzdra telefónu] obsahovala neospravedlniteľnú chybu zabezpečenia: ktokoľvek s právom sada nástrojov mohla nahrať ľubovoľný súbor na ľubovoľné miesto v najvyššom adresári na ich serveri (t. j. web koreň “). Odtiaľ sa nahral jednoduchý súbor .htaccess, ktorý umožňoval cestu k:
Životopisy súčasných a minulých zamestnancov SlickWraps (vr. selfie, e-mailové adresy, domáce adresy, telefónne čísla atď.)
9 GB osobných fotografií zákazníkov nahraných prostredníctvom nástroja na prispôsobenie puzdra telefónu SlickWraps (vč. zálohy pornografie nahranej zákazníkom).
Kvôli očividnému ignorovaniu akejkoľvek podoby prevádzkovej bezpečnosti zo strany SlickWraps som bol bez námahy schopný dosiahnuť vzdialené spustenie kódu a odomknúť schopnosť vykonávať príkazy shellu. Pre nezasvätených je schopnosť vykonávať príkazy shellu podobná získaniu kostry kľúča. Odomkne všetko.
Medzi veci, ku ktorým mal prístup, patrili:
Mohol som sa pridať ako vlastník ich platformy Zendesk. Teraz, keď som mal možnosť prijímať e-maily v doručenej pošte, ktorá bola viazaná na viac účtov SlickWraps, som jednoducho poslal obnovenie hesla a ďalšie odomknutie:
- Plný prístup k ich korporátnemu tímu Slack - tímu, ktorý obsahoval 135 000 historických správ.
- Zostatky na bežných účtoch a protokoly transakcií pre ich platobné brány (PayPal a Braintree).
Zistil som, že ich administrátorský panel (t. J. Rozhranie pre zamestnancov a vedúcich pracovníkov SlickWraps na získavanie správ a spravovať obsah na webe SlickWraps) bol nedbalo chránený nezmyselným firewallom (pamätajte: mal som „kostru kľúč “). Pridal som sa ako používateľ admin a okamžite som získal úplnú kontrolu nad ich systémom správy obsahu.
V podstate každý, kto pristupoval k tejto chybe zabezpečenia, si s údajmi používateľov SlickWraps mohol robiť, čo sa mu páči. Je to veľmi, veľmi, veľmi vážne porušenie.
Verizon ponúka Pixel 4a na nových linkách Unlimited iba za 10 dolárov za mesiac
Nie je to tak, že by SlickWraps o tomto porušení nevedeli. Rys detailne opisuje niekoľko pokusov o nadviazanie kontaktu s nimi, od jemných po veľmi priame. Zakaždým je nielen odmietnutý, ale nakoniec ho dvakrát zablokuje twitterový účet SlickWraps. Nie veľmi dobrý vzhľad pre spoločnosť. Aj keď sa firma údajne pokúša vyčistiť svoje exponované oblasti, zraniteľnosť nechala otvorenú. Je to niečo ako výmena dverí vášho domu, ale ponechanie rovnakých starých zámkov, veľa úsilia za malú odmenu.
Lynx, ktorý vyjadruje zmätok nad spôsobom, akým sa udalosti odohrávali, píše:
https://twitter.com/Lynx0x00/status/1229740632773496832.Stále nemôžem pochopiť, prečo SlickWraps so mnou jednoducho nekomunikovali, aby zistili, kde sú základné zraniteľnosti. Stále viac ma frustrovalo, že nekonajú podľa svojej povinnosti informovať zákazníkov o narušení súkromia. Aby ste pochopili závažnosť tohto porušenia ochrany údajov, upozorňujeme, že nedodržiavanie povinností oznamovať zákazníkom porušenie ochrany údajov v rámci EÚ môžu mať za následok správne pokuty až do výšky 20 miliónov EUR alebo štyroch percent z globálneho ročného obratu spoločnosti - podľa toho, ktorý z nich je vyššie.
Urobiť chybu je prirodzené. Každý to občas urobí. Skutočnou metrikou znakov je to, ako reagujete na zistenie. SlickWraps zlyhalo pri kontrole vibrácií viacerými spôsobmi,
Najlepší správcovia hesiel pre Android v roku 2020
Počúvali ste tento týždeň Android Central Podcast?
Každý týždeň vám Android Central Podcast prináša najnovšie technologické správy, analýzy a zaujímavé novinky so známymi spolupracovníkmi a špeciálnymi hosťami.
- Prihlásiť sa na odber vo vrecku: Zvuk
- Prihlásiť sa na odber v Spotify: Zvuk
- Prihlásiť sa na odber v iTunes: Zvuk
Za nákupy môžeme získať províziu pomocou našich odkazov. Uč sa viac.
Toto sú najlepšie bezdrôtové slúchadlá do uší, ktoré si môžete kúpiť za každú cenu!
Najlepšie bezdrôtové slúchadlá do uší sú pohodlné, vynikajúco znejú, nestoja príliš veľa a ľahko sa zmestia do vrecka.
Všetko, čo potrebujete vedieť o PS5: Dátum vydania, cena a ďalšie.
Spoločnosť Sony oficiálne potvrdila, že pracuje na PlayStation 5. Tu je všetko, čo o nej zatiaľ vieme.
Spoločnosť Nokia predstavuje dva nové lacné telefóny Android One s cenou do 200 dolárov.
Nokia 2.4 a Nokia 3.4 sú najnovším prírastkom do cenovej ponuky inteligentných telefónov spoločnosti HMD Global. Pretože sú to obe zariadenia Android One, je zaručené, že budú dostávať dve hlavné aktualizácie operačného systému a pravidelné bezpečnostné aktualizácie až na tri roky.
Toto sú najlepšie pásma pre Fitbit Sense a Versa 3.
Spolu s vydaním Fitbit Sense a Versa 3 spoločnosť predstavila aj nové nekonečné pásma. Vybrali sme tie najlepšie, aby sme vám uľahčili prácu.