"The Irony - Black Hat Video Stream Hack" címmel írt blogbejegyzésében Michael Coates, a Mozilla webes biztonsággal foglalkozó csapatának vezetője arról számolt be nemrég, hogy hogyan sikerült a Black Hat konferencia egyébként fizetős, 395 dollárba kerülő videostream szolgáltatását ingyen igénybe vennie.

Michael idén nem tudott részt venni a konferencián, ezért úgy döntött, hogy azt a frissen bevezetett videostreaming szolgáltatáson keresztül követi majd. Regisztrálni akart a szolgáltatás igénybevételéhez, de a regisztrációs folyamat közben több furcsaságba is ütközött. A regisztrációs folyamat több helyen is kívánnivalókat hagyott maga után. Ezeket kihasználva sikerült neki bankkártyaszám és több, egyébként szükséges személyes adat megadása nélkül regisztrálnia. A regisztráció után pedig igénybe tudta venni a szolgáltatást ingyen.

Coates szerint kissé ironikus, hogy a világ legnagyobb biztonsági konferenciájának egyik szolgáltatását ilyen könnyű meghackelni. Annyit elmondott a Black Hat védelmében, hogy a szolgáltatást nem ők nyújtották, hanem egy külsős céget bíztak meg vele.

A felismerés után Coates kapcsolatba lépett az illetésekkel és közölte velük a probléma részleteit, így a cég a problémát csakhamar orvosolni tudta.

Az esetet így összegezte a biztonsági szakember:

• Még a biztonságért legtöbbet tevő szervezet is belefuthat biztonsági betörésbe / problémába. A rendszer nagy és komplex, a 3rd party bevonása pedig újabb biztonsági kockázatot hozhat.
• Bármely vállalatnak, vállalkozásnak, amely szolgáltatását harmadik félre bízza, ki kell értékelnie a külső partnert biztonsági szempontból, vagy utána kell néznie azoknak a jelentéseknek, amelyet más, képzett biztonsági szervezet készített a harmadik félről.
• A felelősségteljes / intelligens közlés működhet. Ebben az esetben a cég együttműködő volt.
• A biztonsági szakértők örömmel működnek együtt olyan cégekkel, akiket szintén érdekel a biztonság.

A részletek itt és itt.