Članek

Spletno mesto SlickWraps je polno ranljivosti - in zdi se, da jim ni vseeno

Varnost je težka. Tudi podjetja, kot sta Facebook in Twitter, z vsemi pametnimi ljudmi, ki delajo tam, in z visokimi vložki zaradi neuspeha, občasno še vedno doživljajo kršitve podatkov. Ne bi bilo presenetljivo, če bi ugotovili, da bi podjetje SlickWraps, ki je znano po prodaji prikupnih ovojev za vaš telefon in prenosnike, doživelo lastno ranljivost.

Še bolj zaskrbljujoče je, kako si je podjetje prizadevalo, da bi aktivno prezrlo opozorila raziskovalca varnosti in se izognilo sporočanju kršitve svojim strankam, kot zahteva zakonodaja EU.

Lynx0x00 je v osupljivem delu, polnem preobratov, delil celotna gnusna zadeva naprej Srednje.

Tu je nekaj vidnih odlomkov:

O tem, kako je dobil dostop do baze podatkov SlickWraps:

Ta stran [prilagajanje ohišja telefona] je vsebovala neopravičljivo ranljivost: kdorkoli s pravico komplet orodij lahko naloži katero koli datoteko na katero koli lokacijo v najvišjem imeniku na svojem strežniku (tj. "splet koren "). Od tam je bila naložena preprosta datoteka .htaccess, ki omogoča pot do:

  • Življenjepisi sedanjih in preteklih zaposlenih v SlickWraps (vklj. samoportreti, e-poštni naslovi, domači naslovi, telefonske številke itd.)

  • 9 GB osebnih fotografij strank, naloženih prek orodja za prilagajanje ohišja telefona SlickWraps (vklj. varnostne kopije pornografije, ki jo naložijo stranke).

Zaradi očitnega neupoštevanja kakršnega koli videza operativne varnosti pri SlickWrapsu sem brez težav dosegel oddaljeno izvajanje kode in odklenil zmožnost izvrševanja ukazov lupine. Za nepoznavalce je zmožnost izvrševanja ukazov lupine podobna pridobivanju skeletnega ključa. Odklene vse.

Izbor stvari, do katerih je imel dostop, je vključeval:

Lahko sem se dodal kot lastnik njihove platforme Zendesk. Zdaj, ko sem lahko prejemal e-pošto v mapo »Prejeto«, ki je bila povezana z več računi SlickWraps, sem preprosto poslal ponastavitve gesla in nadalje odklenil:

  • Popoln dostop do njihove poslovne ekipe Slack - tiste, ki je vsebovala 135.000 zgodovinskih sporočil.
  • Stanja na tekočih računih in dnevniki transakcij za njihove plačilne prehode (PayPal in Braintree).

Ugotovil sem, da njihova skrbniška plošča (tj. Vmesnik za zaposlene in direktorje SlickWraps za vlečenje poročil in upravljanje vsebine na spletnem mestu SlickWraps) je bil brezskrbno zaščiten z nesmiselnim požarnim zidom (ne pozabite: imel sem "okostje" ključ "). Dodal sem se kot skrbniški uporabnik in takoj pridobil popoln nadzor nad njihovim sistemom za upravljanje vsebin.

V bistvu bi lahko vsi, ki so dostopali do ranljivosti, s podatki uporabnikov SlickWraps naredili, kar jim je všeč. Gre za zelo zelo resno kršitev.

Verizon ponuja Pixel 4a za samo 10 USD mesečno na novih linijah Unlimited

https://twitter.com/Lynx0x00/status/1228856602649878530.

Ni tako, kot da se SlickWraps niso zavedali kršitve. Lynx podrobno opisuje več poskusov stika z njimi, od subtilnih do zelo neposrednih. Vsakokrat mu ne le zavrnejo, ampak ga sčasoma dvakrat blokira račun SlickWraps. Ni zelo dober videz podjetja. Čeprav naj bi podjetje poskušalo očistiti svoja izpostavljena območja, je ranljivost še vedno pustilo odprto. To je nekako tako, kot bi spremenili vrata svoje hiše, a pustil enake stare ključavnice, veliko truda za malo nagrade.

Lynx je izrazil zmedo nad potekom dogodkov, piše:

Še vedno ne razumem, zakaj SlickWraps ni preprosto komuniciral z mano, da bi izvedel, kje so temeljne ranljivosti. Vse bolj me je razočaralo dejstvo, da niso ravnali v skladu s svojo obveznostjo obveščanja strank o kršitvi zasebnosti. Da bi razumeli resnost te kršitve podatkov, upoštevajte, da neupoštevanje obveščanja strank o kršitvi podatkov znotraj EU lahko povzroči upravne globe do 20 milijonov EUR ali štiri odstotke svetovnega letnega prometa podjetja - kar koli je višje.

https://twitter.com/Lynx0x00/status/1229740632773496832.

Napaka je naravna. Vsakdo to počne občasno. Meritev pravega znaka je, kako se odzovete na to, da boste izvedeni. Na več načinov SlickWraps ni uspel preveriti vibracije,

Najboljši skrbniki gesel za Android v letu 2020

Ste že poslušali Android Central Podcast tega tedna?

Android Central

Android Central Podcast vam vsak teden prinaša najnovejše tehnološke novice, analize in vroče posnetke z znanimi sovoditelji in posebnimi gosti.

  • Naročite se na žepne zasedbe: Zvok
  • Naročite se na Spotify: Zvok
  • Naročite se v iTunes: Zvok

Za nakup lahko z našimi povezavami zaslužimo provizijo. Nauči se več.

To so najboljše brezžične slušalke, ki jih lahko kupite za vsako ceno!
Čas je, da prerežemo vrvico!

To so najboljše brezžične slušalke, ki jih lahko kupite za vsako ceno!

Najboljše brezžične ušesne slušalke so udobne, odlično se slišijo, ne stanejo preveč in jih enostavno spravite v žep.

Vse, kar morate vedeti o PS5: datum izdaje, cena in še več
Naslednja generacija

Vse, kar morate vedeti o PS5: datum izdaje, cena in še več.

Sony je uradno potrdil, da dela na PlayStation 5. Tukaj je vse, kar vemo o tem doslej.

Nokia je predstavila dva nova proračunska telefona Android One, mlajša od 200 USD
Nove Nokije

Nokia je predstavila dva nova proračunska telefona Android One, mlajša od 200 USD.

Nokia 2.4 in Nokia 3.4 sta zadnji dodatek k proračunski liniji pametnih telefonov HMD Global. Ker sta obe napravi Android One, bodo do treh let zagotovo prejemali dve glavni posodobitvi OS in redne varnostne posodobitve.

To so najboljši pasovi za Fitbit Sense in Versa 3
Novo in izboljšano

To so najboljši pasovi za Fitbit Sense in Versa 3.

Skupaj z izdajo Fitbit Sense in Versa 3 je podjetje predstavilo tudi nove neskončne pasove. Izbrali smo najboljše, da vam olajšajo stvari.

instagram story viewer