Hogyan ne indítsunk "hackme" versenyt...

Titkosítás, biztonság, privát szféra

Érdekes versenyt hirdetett meg egy webmail szolgáltatásokat nyújtó, magát "hack-proof"-ként jellemző cég. A StrongWebmail 10 000 dollárt ajánlott annak, aki sikeresen feltöri a vezérigazgató mailboxát. A versenyt azonnal el is bukta a vállalat, mikor egy három főből álló társaság egy XSS sebezhetőséget kihasználva hozzáfért a cégvezető postafiókjához...

Aviv Raff, Lance James és Mike Bailey egy preparált levelet küldtek a vezérigazgatónak, Darren Berkovitz-nak. Mikor az megnyitotta a levelet, a csapat sikeresen ki is használta az XSS sebezhetőséget. Hozzáfértek a CEO postafiókjához és versenyszabályzatnak megfelelően feljegyezték a szükséges paramétereket (2009 június 26-án esedékes taszk a naptárban).

Állítólag Berkovitz elismerte a naptárbejegyzés hitelességét, de a vállalat még nem ismerte el a betörés tényét a beígért jutalom kifizetésével.

A vállalat elismerte a betörést.

A részletek itt olvashatók.

( Huncraft v | 2009. 06. 10., sze – 16:49 )

Kicsit régi már a hír.. Azóta elismerték
____________________________________
Az embert 2 éven át arra tanítják hogyan álljon meg a 2 lábán, és hogyan beszéljen... Aztán azt mondják neki: -"Ülj le és kuss legyen!"..

Na és itt kezd érdekes lenni a dolog, amikor már a google se találja az anyagot, és az eredeti helyről is törölték :) Még mázli, hogy 1-2 kereső még emlékszik, hogy volt ott azért vmi ( kár hogy a cache-elt tartalmat nem lehet előhívni ) :)
____________________________________
Az embert 2 éven át arra tanítják hogyan álljon meg a 2 lábán, és hogyan beszéljen... Aztán azt mondják neki: -"Ülj le és kuss legyen!"..

( dblaci | 2009. 06. 10., sze – 17:50 )

aranyos hír. :D
duplán bukó, mert ugye egyrészt -10e $, meg hát a reklám érték az lett volna, hogy nem sikerül feltörni lol. :D

Pár évvel ezelőtt találtam egy apróságot egy itteni bank weboldalában, amin keresztül ki lehetett termelni a számlatulajdonosok néhány adatát (bejelentkezés nélkül). Megírtam a helpdesknek hogy itt meg itt, ezt meg ezt csinálva nem pont az elvárt működés jelentkezik, és hogy ez szerintem gáz.

Kb két hétig nem történt semmi, majd jött egy elnézést kérő mail hogy sajnálják hogy eddig tartott, köszönik az észrevételt, de nyugodjak meg, a személyes adataim biztonságban vannak és ők vigyáznak rám. Mondom nem aggódós hanem tényközlős mailt írtam a múltkor, és akkor bátorkodnék inkább demonstrálni a problémát. Majd elküldtem nekik kb egy tucat ügyfelük adatait.

Arra a levélre sosem jött válasz, viszont másnapra eltűnt az oldalról az adatokat szivárogtató link. Még élek. :)
Szóval azért nem olyan hármompontosan sz@r itt a helyzet. :)

Az, hogy egy oldalon található XSS sebezhetőség az még nem jelenti, hogy az oldal xar.. Sok híres oldalon a mai napig is van nem 1 ilyen lyukl.. A durva inkább az, hogy 1-2 perc alatt megtalálták az XSS sebezhetőséget, és inkább a kihasználások kelett többet agyalniuk..
____________________________________
Az embert 2 éven át arra tanítják hogyan álljon meg a 2 lábán, és hogyan beszéljen... Aztán azt mondják neki: -"Ülj le és kuss legyen!"..

ügyes (gazdaságos) húzás a cég részéről.
marketing szempontból sem kell feltétlenül veszteségként elkönyvelni a történteket: ha néhány forduló után már nem akad feltörnivaló, jól jön ki a cég.
ha meg már télleg olyan biztonságos, hogy ihaj, de a StrongWebmail nevéről már mindenkinek csak a sebezhetőségek és a megbízhatatlanság jut eszébe, hát csinálnak egy másik céget és kezdik előről a márkaépítést -- persze (olcsóért megszerzett) mozgó rajtról... ;)