Makale

SlickWraps'ın web sitesi güvenlik açıklarıyla dolu ve umursamıyor gibi görünüyor

Güvenlik zordur. Orada çalışan akıllı insanların ve başarısızlığın yüksek riskli sonuçlarının olduğu Facebook ve Twitter gibi firmalar bile zaman zaman veri ihlalleri yaşıyor. Telefonunuz ve dizüstü bilgisayarlarınız için sevimli ambalaj satmasıyla bilinen bir şirket olan SlickWraps'ın kendi başına bir güvenlik açığı yaşamış olması şaşırtıcı olmaz.

Daha da endişe verici olan şey, firmanın bir Güvenlik Araştırmacısının uyarılarını aktif olarak görmezden gelme ve AB yasalarının gerektirdiği şekilde ihlali müşterilerine bildirmekten kaçınma yoludur.

Lynx0x00, virajlarla ve dönüşlerle dolu nefes kesici bir parçada tüm kirli ilişki Orta.

İşte bazı çarpıcı alıntılar:

SlickWraps veritabanına nasıl eriştiği hakkında:

Bu [telefon kılıfı özelleştirme] sayfası mazur görülemez bir güvenlik açığı içeriyordu: hakkı olan herkes araç seti herhangi bir dosyayı sunucularındaki en yüksek dizindeki herhangi bir konuma yükleyebilir (ör. "web kök"). Buradan, basit bir .htaccess dosyası yüklendi ve aşağıdakilere bir yol sağladı:

  • Mevcut ve geçmiş SlickWraps çalışanlarının özgeçmişleri (dahil. özçekimler, e-posta adresleri, ev adresleri, telefon numaraları vb.)

  • SlickWraps telefon kılıfı özelleştirme aracı ile yüklenen 9 GB kişisel müşteri fotoğrafı (dahil. müşteri tarafından yüklenen pornografinin yedekleri).

SlickWraps'ın operasyonel güvenliğin herhangi bir şeklini açıkça göz ardı etmesinden dolayı, zahmetsizce uzaktan kod çalıştırma ve kabuk komutlarını çalıştırma yeteneğinin kilidini açabildim. Deneyimsizler için, kabuk komutlarını çalıştırma yeteneği, bir iskelet anahtarı elde etmeye benzer. Her şeyin kilidini açar.

Erişebileceği bir dizi şey şunları içeriyordu:

Kendimi Zendesk platformlarının Sahibi olarak ekleyebildim. Artık birden fazla SlickWraps hesabına bağlı bir gelen kutusunda e-posta alma olanağına sahip olduğuma göre, sadece şifre sıfırlamaları gönderdim ve daha fazla kilidi açtım:

  • Kurumsal Slack ekibine tam erişim - içinde 135.000 tarihi mesaj bulunan bir ekip.
  • Ödeme ağ geçitleri için cari hesap bakiyeleri ve işlem günlükleri (PayPal ve Braintree).

Yönetici panellerinin (yani, SlickWraps çalışanlarının ve yöneticilerinin raporları ve SlickWraps web sitesindeki içeriği yönetin) anlamsız bir güvenlik duvarıyla dikkatsizce korunuyordu (unutmayın: "iskelet anahtar "). Kendimi bir yönetici kullanıcı olarak ekledim ve içerik yönetim sistemleri üzerinde hemen tam kontrol sahibi oldum.

Temelde, güvenlik açığına erişen herkes SlickWraps kullanıcılarının verileriyle istediklerini yapabilirdi. Bu çok, çok, çok ciddi bir ihlal.

Verizon, Pixel 4a'yı yeni Sınırsız hatlarda ayda sadece 10 ABD doları karşılığında sunuyor

https://twitter.com/Lynx0x00/status/1228856602649878530.

SlickWraps'ın ihlalin farkında olmadığı gibi değil. Lynx, incelikli olandan en doğrudan doğruya onlarla iletişim kurma girişimlerinin ayrıntılarını verir. Her seferinde sadece reddedilmekle kalmaz, aynı zamanda SlickWraps twitter hesabı tarafından iki kez bloke edilir. Şirket için pek iyi bir görünüm değil. Firmanın açıkta kalan alanlarını temizlemeye çalıştığı bildirilse de, güvenlik açığını hala açık bıraktı. Bu biraz evinizin kapılarını değiştirmek gibi ama aynı eski kilitleri bırakmak gibi, çok az ödül için çok çaba.

Lynx, olayların gidişatından şaşkınlık ifade ederek şöyle yazıyor:

SlickWraps'in neden temel güvenlik açıklarının nerede yattığını öğrenmek için benimle iletişim kurmadığını hala anlayamıyorum. Müşterileri gizlilik ihlali konusunda bilgilendirme yükümlülüklerini yerine getirmedikleri gerçeğinden giderek daha fazla hayal kırıklığına uğradım. Bu veri ihlalinin ciddiyetini anlamak için, müşterileri AB içindeki bir veri ihlalinden haberdar etmenin uygunsuzluğuna dikkat edin. 20 milyon € 'ya kadar veya bir şirketin küresel yıllık cirosunun yüzde dördüne kadar idari para cezası ile sonuçlanabilir - hangisi ise daha yüksek.

https://twitter.com/Lynx0x00/status/1229740632773496832.

Hata yapmak doğaldır. Herkes zaman zaman yapıyor. Gerçek karakter ölçüsü, bulunmaya nasıl tepki verdiğinizdir. Birden fazla şekilde, SlickWraps titreşim kontrolünde başarısız oldu,

2020'de Android için En İyi Şifre Yöneticileri

Bu haftanın Android Central Podcast'ini dinlediniz mi?

Android Central

Her hafta, Android Central Podcast size en son teknoloji haberlerini, analizleri ve önemli konuları tanıdık yardımcı sunucular ve özel konuklarla birlikte getiriyor.

  • Cep Yayınlarında Abone Ol: Ses
  • Spotify'da abone ol: Ses
  • İTunes'da abone ol: Ses

Bağlantılarımızı kullanarak satın alımlar için komisyon kazanabiliriz. Daha fazla bilgi edin.

Bunlar, her fiyata satın alabileceğiniz en iyi kablosuz kulaklıklardır!
Kordonu kesmenin zamanı geldi!

Bunlar, her fiyata satın alabileceğiniz en iyi kablosuz kulaklıklardır!

En iyi kablosuz kulaklıklar rahattır, harika ses çıkarır, çok pahalı değildir ve cebe kolayca sığar.

PS5 hakkında bilmeniz gereken her şey: Çıkış tarihi, fiyatı ve daha fazlası
Gelecek nesil

PS5 hakkında bilmeniz gereken her şey: Çıkış tarihi, fiyatı ve daha fazlası.

Sony, PlayStation 5 üzerinde çalıştığını resmen onayladı. Şimdiye kadar bildiğimiz her şey burada.

Nokia, 200 doların altında iki yeni bütçeye sahip Android One telefonunu piyasaya sürdü
Yeni Nokias

Nokia, 200 doların altında iki yeni bütçeye sahip Android One telefonunu piyasaya sürdü.

Nokia 2.4 ve Nokia 3.4, HMD Global'in bütçeye uygun akıllı telefon serisinin en son eklemeleridir. Her ikisi de Android One cihazları olduğundan, üç yıla kadar iki büyük işletim sistemi güncellemesi ve düzenli güvenlik güncellemeleri almaları garanti edilir.

Bunlar Fitbit Sense ve Versa 3 için en iyi gruplar
Yeni ve geliştirilmiş

Bunlar, Fitbit Sense ve Versa 3 için en iyi gruplar.

Fitbit Sense ve Versa 3'ün piyasaya sürülmesiyle birlikte, şirket ayrıca yeni sonsuzluk grupları da tanıttı. İşleri sizin için kolaylaştırmak için en iyisini seçtik.

instagram story viewer