Android

Web Mail บริษัท จ่ายรางวัลหลังจาก CEO Hacked

Booty Farm 2020 Gameplay Simulation

Booty Farm 2020 Gameplay Simulation
Anonim

บริษัท เว็บเมลปลอดภัยที่ท้าทายแฮ็กเกอร์บุกเข้าสู่ระบบอีเมลทางเว็บของ บริษัท กำลังจ่ายเงินรางวัล 10,000 เหรียญสหรัฐเพียงไม่กี่วันหลังจากเปิดตัวการประกวด

ทีมแฮกเกอร์ได้รับการจัดการ เพื่อเจาะเข้าสู่บัญชีอีเมลทางเว็บของ StrongWebmail Darren Berkovitz โดยใช้สิ่งที่เรียกว่าการโจมตีแบบ cross-site scripting (XSS) บริษัท ได้รับการยืนยันเมื่อวันจันทร์ "StrongWebmail กล่าวในแถลงการณ์ว่า" พวกเขาใช้สคริปต์ XSS ที่ใช้ประโยชน์จากช่องโหว่ในโปรแกรมเว็บเมลแบ็ก "StrongWebmail ได้เปิดตัวการประกวดเมื่อปลายเดือนพฤษภาคมเป็นวิธีการส่งเสริมเทคโนโลยีการระบุตัวตนด้วยเสียง ซึ่งจำหน่ายโดย บริษัท แม่ Telesign แฮกเกอร์ได้รับอีเมลแอดเดรสและรหัสผ่านของ Berkovitz และได้รับการท้าทายให้เจาะเข้าบัญชี เนื่องจาก StrongWebmail ต้องการรหัสผ่านพิเศษที่โทรศัพท์ถึงผู้ใช้ก่อนที่จะสามารถเข้าถึงอีเมลได้

[อ่านเพิ่มเติม: วิธีลบมัลแวร์จากคอมพิวเตอร์ที่ใช้ Windows ของคุณ]

นักวิทยาศาสตร์หัวหน้าสาขาวิทยาศาสตร์ความปลอดภัย แลนซ์เจมส์และแฮ็กเกอร์เพื่อน Aviv Raff และ Mike Bailey พบประตูหลังในข้อบกพร่องของเว็บทั่วไปอย่างไรก็ตามและอ้างว่าพวกเขาต้องการชนะการประกวดเมื่อวันพฤหัสบดี คำแถลงของ StrongWebmail ยืนยันว่าพวกเขาได้เจาะเข้าไปในบัญชีอีเมลของ Berkovitz แล้ว

ในการเขียนสคริปต์ข้ามไซต์ผู้บุกรุกใช้ประโยชน์จากข้อบกพร่องบนเว็บเซิร์ฟเวอร์เพื่อเรียกใช้สคริปต์เว็บที่เป็นอันตรายในเบราว์เซอร์ของเหยื่อ ของเบราว์เซอร์

แฮกเกอร์พบข้อบกพร่องของเว็บภายในไม่กี่นาทีเจมส์กล่าวและใช้เวลาประมาณหกชั่วโมงเพื่อทำให้การโจมตีเสร็จสมบูรณ์ ไม่ทำงานเป็นจำนวนมากสำหรับการจ่ายเงิน 10,000 เหรียญ

StrongWebmail กล่าวว่า "ไม่ได้ขัดขวาง" โดยข้อสรุปอย่างรวดเร็วของการประกวดและจะเปิดตัวการแข่งขันใหม่เมื่อบั๊กนี้ได้รับการแก้ไขแล้ว "เราจะไม่หยุดนิ่งจนกว่าเราจะสร้างอีเมลที่มีความปลอดภัยมากที่สุดในโลก"

ข้อบกพร่องที่แฮ็กเกอร์ใช้โดยซอฟต์แวร์ Rackspace Web mail ใช้ในการขับเคลื่อน StrongWebmail ไม่ใช่ใน ระบบการตรวจสอบความถูกต้องของ Telesign ที่ StrongWebmail ถูกสร้างขึ้นเพื่อโปรโมต Berkovitz กล่าวในการสัมภาษณ์ทางอีเมลล์

จำนวนเงินรางวัลและกฎของการประกวดครั้งต่อไปยังไม่ได้รับการพิจารณา "เรากำลังจะพยายามทำให้การประกวดครั้งต่อไปน่าจะเป็นการละเมิดส่วนที่ TeleSign ปกป้อง" เขากล่าว "อีเมลที่เราได้รับอนุญาตเห็นได้ชัดจากผู้ให้บริการรายใหญ่และน่าเชื่อถือ แต่เรามีเพียงอย่างเดียวที่เราสามารถทำได้เพื่อให้แน่ใจว่าพวกเขาไม่มีหลุมท้ายสุดของพวกเขา"

ในอีเมลที่ส่งถึงเจมส์ และได้รับการชมจาก IDG News Service บริษัท ได้ให้ความสำคัญกับทักษะการเจาะระบบของเขา "คุณและทีมงานของคุณค่อนข้างน่าประทับใจ - อัตราการให้คำปรึกษาของคุณคืออะไร?" e-mail states