SlickWraps<\/p>\n
SlickWraps, l’un des fabricants d’habillages d’appareils les plus connus, semble avoir un probl\u00e8me de s\u00e9curit\u00e9 majeur entre ses mains. Un chercheur en s\u00e9curit\u00e9 passant par le compte Twitter Lynx0x00<\/a>, a r\u00e9ussi \u00e0 se frayer un chemin dans les syst\u00e8mes de SlickWraps et \u00e0 apparemment tout compromettre. Si vous \u00eates un client SlickWraps, il est temps de verrouiller votre cr\u00e9dit<\/a> et de changer vos mots de passe.<\/p>\n Mise \u00e0 jour, 2\/21 :<\/strong> Peu de temps apr\u00e8s la publication de cet article, SlickWraps a publi\u00e9 une d\u00e9claration officielle via son compte Twitter :<\/p>\n https:\/\/twitter.com\/SlickWraps\/status\/1230929725192839170?s=20<\/a><\/p>\n Mise \u00e0 jour x2, 21\/02 : <\/strong>l’article moyen d’origine d\u00e9taillant cette violation n’est plus disponible. Vous pouvez trouver une version archiv\u00e9e ici<\/a>.<\/p>\n Le rapport original est laiss\u00e9 intact ci-dessous.<\/p>\n Comme il l’a expliqu\u00e9 dans un article Medium<\/a>, Lynx0x00 a commenc\u00e9 \u00e0 se pencher sur SlickWraps en raison de plaintes du service client sur Twitter. Mais la v\u00e9ritable histoire commence lorsqu’il a vu une affirmation selon laquelle un pirate informatique avait pirat\u00e9 les comptes ZenDesk de SlickWraps. Et donc commenc\u00e9 \u00e0 tester.<\/p>\n Il n’a pas fallu longtemps avant qu’il ait un acc\u00e8s complet aux bases de donn\u00e9es clients. La zone de personnalisation de l’\u00e9tui de t\u00e9l\u00e9phone de l’entreprise sur son site Web contenait une vuln\u00e9rabilit\u00e9 qui permettait \u00e0 quiconque disposant du bon ensemble d’outils de charger n’importe quel fichier \u00e0 n’importe quel emplacement du r\u00e9pertoire le plus \u00e9lev\u00e9 de son serveur. \u00c0 partir de l\u00e0, tout le reste est tomb\u00e9 comme des dominos.<\/p>\n Lynx dit qu’il a eu acc\u00e8s aux bases de donn\u00e9es de l’entreprise, \u00e0 Slack, aux journaux de transactions pour leurs passerelles de paiement, et m\u00eame au contr\u00f4le total du syst\u00e8me de gestion de contenu de l’entreprise.<\/p>\n Finalement, il a essay\u00e9 de divulguer la vuln\u00e9rabilit\u00e9 \u00e0 SlickWraps, \u00e0 la fois avec des moyens conventionnels (comme un e-mail bien r\u00e9dig\u00e9) et des moyens non conventionnels (comme un vague Tweet<\/a> avec des suivis moins vagues). Au d\u00e9part, ses tentatives de contact sont rest\u00e9es sans r\u00e9ponse et l’entreprise l’a m\u00eame bloqu\u00e9 sur Twitter.<\/p>\n Finalement, il a r\u00e9ussi \u00e0 entrer en contact avec l’\u00e9quipe des m\u00e9dias sociaux de SlickWraps, mais cette discussion s’est mal d\u00e9roul\u00e9e et l’entreprise l’a de nouveau bloqu\u00e9. Cela a conduit Lynx \u00e0 publier ses d\u00e9couvertes sur Medium. Pour sa part, SlickWrap n’a pas reconnu les affirmations de Lynx et son compte Twitter est silencieux. Nous mettrons \u00e0 jour ce message si la soci\u00e9t\u00e9 publie une d\u00e9claration. (Modifier : <\/strong> vous pouvez lire la d\u00e9claration de SlickWrap ci-dessus.)<\/p>\n Malheureusement, nous avons toutes les raisons de croire que quelqu’un a acc\u00e8s aux comptes et services SlickWraps. Les clients commencent \u00e0 publier des e-mails \u00e0 partir du compte de messagerie officiel de SlickWraps, mais \u00e9crits par quelqu’un d’autre. Lynx a d\u00e9clar\u00e9 qu’il n’avait pas \u00e9crit l’e-mail.<\/p>\n
\n
\n