Сигурност је тешка. Чак и фирме попут Фацебоок-а и Твиттер-а, са свим паметним људима који тамо раде и резултатима неуспеха високих улога, и даље с времена на време доживљавају повреде података. Не би било изненађујуће када би сазнали да би компанија СлицкВрапс, позната по продаји слатког омота за ваш телефон и преносне рачунаре, имала сопствену рањивост.
Још више забрињава начин на који се фирма потрудила да активно игнорише упозорења истраживача безбедности и избегава да својим клијентима саопшти кршење, као што захтева закон ЕУ.
У комаду од којег застаје дах пун преокрета, Линк0к00 је поделио читава гадна афера на Средње.
Ево неколико истакнутих одломака:
О томе како је добио приступ бази података СлицкВрапс:
Ова страница [прилагођавање футроле за телефон] садржала је неопростиву рањивост: свако са правом комплет алата може да отпреми било коју датотеку на било које место у највишем директоријуму на њиховом серверу (тј. „веб корен"). Одатле је отпремљена једноставна .хтаццесс датотека која омогућава пут до:
Резиме садашњих и бивших запослених у СлицкВрапсу (укљ. селфије, адресе е-поште, кућне адресе, бројеве телефона итд.)
9 ГБ личних фотографија купаца, отпремљених помоћу алата за прилагођавање футроле СлицкВрапс (укљ. резервне копије порнографије коју отпремају купци).
Због очигледног занемаривања СлицкВрапса било каквог привида оперативне сигурности, без напора сам могао да постигнем даљинско извршавање кода и откључам способност извршавања команди љуске. За неупућене, способност извршавања команди љуске сродна је добијању кључа костура. Откључава све.
Избор ствари којима је могао приступити обухватао је:
Могао сам да се додам као власник њихове платформе Зендеск. Сад кад сам имао могућност да примам е-пошту у пријемно сандуче које је било повезано са више СлицкВрапс налога, једноставно сам послао ресетовање лозинке и даље откључао:
- Пуни приступ њиховом корпоративном Слацк тиму - оном који је садржао 135.000 историјских порука.
- Стања на текућим рачунима и евиденције трансакција за њихове мрежне прелазе (ПаиПал и Браинтрее).
Открио сам да њихов администраторски панел (тј. Интерфејс за запослене и руководиоце СлицкВрапс-а за повлачење извештаја и управљање садржајем на веб локацији СлицкВрапс) био је безбрижно заштићен бесмисленим заштитним зидом (сетите се: имао сам „костур“ кључ "). Додао сам се као административни корисник и одмах стекао потпуну контролу над њиховим системом за управљање садржајем.
У суштини, свако ко је приступио рањивости могао је да ради како желе са подацима корисника СлицкВрапс-а. То је врло, врло, врло озбиљно кршење.
Веризон нуди Пикел 4а за само 10 УСД месечно на новим Неограниченим линијама
Није да СлицкВрапс нису били свесни кршења. Рис описује неколико покушаја успостављања контакта с њима, од суптилних до врло директних. Сваки пут, не само да му је одбијен, већ га на крају два пута блокира Твиттер налог СлицкВрапс. Није баш добар изглед компаније. Иако фирма наводно покушава да очисти своја изложена подручја, рањивост је и даље оставила отворену. То је отприлике попут промене врата ваше куће, али остављање истих старих брава, много труда за малу награду.
Изражавајући збуњеност начином на који су се догађаји одвијали, Линк пише:
https://twitter.com/Lynx0x00/status/1229740632773496832.Још увек не могу да схватим зашто СлицкВрапс није једноставно комуницирао са мном да би научио где се налазе основне рањивости. Била сам све фрустриранија чињеницом да нису извршавали своју обавезу да обавесте купце о кршењу приватности. Да бисте разумели тежину овог кршења података, имајте на уму да непридржавање обавештавања купаца о кршењу података унутар ЕУ може резултирати административним новчаним казнама до 20 милиона евра, или четири процента укупног годишњег промета компаније - шта год да се догоди више.
Погрешка је природна. Сви то раде с времена на време. Права карактеристика карактера је како реагујете на сазнање. На више начина, СлицкВрапс није успео у провери вибрације,
Најбољи менаџери лозинки за Андроид у 2020
Да ли сте слушали овонедељни Андроид Централ Подцаст?
Андроид Централ Подцаст вам сваке недеље доноси најновије технолошке вести, анализе и тренутне тренутке, уз познате ко-домаћине и специјалне госте.
- Претплатите се на Поцкет Цастс: Аудио
- Претплатите се на Спотифи: Аудио
- Претплатите се на иТунес: Аудио
Можемо зарадити провизију за куповину користећи наше везе. Сазнајте више.
Ово су најбоље бежичне слушалице које можете купити по свакој цени!
Најбоље бежичне слушалице су удобне, звуче сјајно, не коштају превише и лако се ставе у џеп.
Све што треба да знате о ПС5: Датум изласка, цена и још много тога.
Сони је званично потврдио да ради на ПлаиСтатион 5. Ево свега што до сада знамо о томе.
Нокиа лансира два нова буџетска Андроид Оне телефона испод 200 долара.
Нокиа 2.4 и Нокиа 3.4 су најновији додаци буџетској линији паметних телефона компаније ХМД Глобал. С обзиром да су оба Андроид Оне уређаја, гарантовано ће добити две главне исправке ОС-а и редовна безбедносна ажурирања до три године.
Ово су најбољи бендови за Фитбит Сенсе и Верса 3.
Заједно са издањем Фитбит Сенсе и Верса 3, компанија је такође представила нове бесконачне опсеге. Одабрали смо најбоље како бисмо вам олакшали посао.