...
🧑 💻 Все найцікавіше з програмного забезпечення, автомобілебудування, світу. У ньому є все, що вам потрібно знати про мобільні пристрої, комп'ютери та багато іншого для вундеркіндів.

[Оновлено x2] PSA: якщо ви коли-небудь купували щось у SlickWraps, вся ваша особиста інформація була скомпрометована

7

SlickWraps

SlickWraps, один з найвідоміших виробників шкіри пристроїв, має серйозну проблему безпеки. Дослідник безпеки, який керує Twitter Lynx0x00, зумів проникнути в системи SlickWraps і скомпрометувати, здавалося б, усе. Якщо ви є клієнтом SlickWraps, настав час заблокувати свій кредит і змінити паролі.


Оновлення, 2/21: невдовзі після публікації цієї публікації, SlickWraps опублікував офіційну заяву через свій обліковий запис у Twitter:

https://twitter.com/SlickWraps/status/1230929725192839170?s=20

Оновлення x2, 2/21: оригінальний допис на Medium, де детально описується це порушення, більше недоступний. Архівну версію можна знайти тут.

Оригінальний звіт залишено недоторканим нижче.


Як він пояснив у пості Medium, Lynx0x00 вперше почав вивчати SlickWraps через скарги на обслуговування клієнтів у Twitter. Але справжня історія починається, коли він побачив заяву, що хакер зламав облікові записи ZenDesk SlickWraps. І так почали тестування.

Незабаром він отримав повний доступ до баз даних клієнтів. Область налаштування чохла для телефонів компанії на їхньому веб-сайті містила вразливість, яка дозволяла кожному, хто має відповідний набір інструментів, завантажувати будь-який файл у будь-яке місце в найвищому каталозі на своєму сервері. Звідти все інше впало, як доміно.

Lynx каже, що отримав доступ до баз даних компанії, Slack, журналів транзакцій для їхніх платіжних шлюзів і навіть повний контроль над системою управління контентом компанії.

Зрештою, він спробував розкрити вразливість SlickWraps, як за допомогою звичайних засобів (наприклад, добре сформульований електронний лист), так і нетрадиційних засобів (наприклад, нечіткий твіт із менш розмитими подальшими повідомленнями). Спочатку його спроби контакту залишилися без відповіді, і компанія навіть заблокувала його в Twitter.

Згодом йому вдалося зв’язатися з командою соціальних мереж SlickWraps, але це обговорення пройшло погано, і компанія знову заблокувала його. Це призвело до того, що Lynx опублікував свої висновки на Medium. Зі свого боку, SlickWrap не визнає претензій Lynx, а її акаунт у Twitter мовчить на радіо. Ми оновимо цю публікацію, якщо компанія зробить заяву. (Редагувати: ви можете прочитати заяву SlickWrap вище.)

На жаль, у нас є всі підстави вважати, що хтось має доступ до облікових записів і служб SlickWraps. Клієнти починають публікувати електронні листи з офіційного облікового запису електронної пошти SlickWraps, але написані кимось іншим. Lynx заявив, що він не писав електронного листа.

Якщо ви коли-небудь купували щось у SlickWraps, можливо, захочете заблокувати свій кредит і зв’язатися з компаніями, які випустили кредитні картки.

Ви також можете скинути паролі, і якщо ви повторно використовуєте той самий пароль для багатьох сайтів, вам слід припинити. Ми пропонуємо використовувати менеджер паролів для створення унікальних паролів для кожного веб-сайту.

через Lynx0x00 на Medium

Джерело запису: www.reviewgeek.com

Цей веб -сайт використовує файли cookie, щоб покращити ваш досвід. Ми припустимо, що з цим все гаразд, але ви можете відмовитися, якщо захочете. Прийняти Читати далі