Seleccionar página

Lo que necesitas saber

  • Según los informes, SlickWraps tenía una vulnerabilidad grave que podría permitir que cualquier atacante informado obtuviera acceso a los datos de los clientes y más utilizando su sitio web.
  • La firma también rechazó los intentos de los investigadores de seguridad de trabajar para corregir la vulnerabilidad.
  • Tomando el asunto en sus propias manos, el investigador Lynx0x00 usó las capacidades otorgadas por la vulnerabilidad para advertir a los clientes sobre la violación.

La seguridad es difícil. Incluso empresas como Facebook y Twitter, con toda la gente inteligente que trabaja allí y los resultados de alto riesgo del fracaso, aún experimentan filtraciones de datos de vez en cuando. No sería sorprendente saber que SlickWraps, una empresa conocida por vender lindos envoltorios para teléfonos y computadoras portátiles, habría experimentado una vulnerabilidad propia.

Lo que es más preocupante es la forma en que la empresa hizo todo lo posible para ignorar activamente las advertencias de un investigador de seguridad y evitar comunicar la infracción a sus clientes, como lo exige la legislación de la UE.

En una pieza impresionante llena de giros y vueltas, Lynx0x00 compartió todo el sórdido asunto en Medium .

Aquí hay algunos extractos destacados:

Sobre cómo obtuvo acceso a la base de datos SlickWraps:

Esta página [de personalización de la carcasa del teléfono] contenía una vulnerabilidad imperdonable: cualquier persona con el conjunto de herramientas adecuado podía cargar cualquier archivo en cualquier ubicación del directorio más alto de su servidor (es decir, la "raíz web"). A partir de ahí, se cargó un archivo .htaccess simple, lo que permitió una ruta a:

  • Hojas de vida de empleados actuales y pasados ??de SlickWraps (incluidos selfies, direcciones de correo electrónico, domicilios particulares, números de teléfono, etc.)
  • 9 GB de fotos personales de los clientes, cargadas a través de la herramienta de personalización de la carcasa del teléfono SlickWraps (incluidas las copias de seguridad de la pornografía cargada por el cliente).

Debido al flagrante desprecio de SlickWraps por cualquier apariencia de seguridad operativa, pude lograr sin esfuerzo la ejecución remota de código y desbloquear la capacidad de ejecutar comandos de shell. Para los no iniciados, la capacidad de ejecutar comandos de shell es similar a obtener una clave maestra. Lo desbloquea todo.

Una selección de cosas a las que podía acceder incluía:

Pude agregarme como propietario de su plataforma Zendesk. Ahora que tenía la capacidad de recibir correos electrónicos en una bandeja de entrada que estaba vinculada a varias cuentas de SlickWraps, simplemente envié restablecimientos de contraseña y desbloqueé más:

  • Acceso completo a su equipo corporativo de Slack, que contenía 135 000 mensajes históricos.
  • Saldos de cuenta corriente y registros de transacciones para sus pasarelas de pago (PayPal y Braintree).

Descubrí que su panel de administrador (es decir, la interfaz para que los empleados y ejecutivos de SlickWraps obtengan informes y administren contenido en el sitio web de SlickWraps) estaba protegido descuidadamente por un firewall sin sentido (recuerde: tenía la "clave maestra"). Me agregué como usuario administrador e inmediatamente obtuve control total sobre su sistema de administración de contenido.

En esencia, cualquiera que acceda a la vulnerabilidad podría hacer lo que quiera con los datos de los usuarios de SlickWraps. Es una infracción muy, muy, muy grave.

https://twitter.com/Lynx0x00/status/1228856602649878530

No es que SlickWraps desconociera la brecha. Lynx detalla varios intentos de establecer contacto con ellos, desde los más sutiles hasta los más directos. Cada vez, no solo es rechazado, sino que finalmente es bloqueado dos veces por la cuenta de Twitter de SlickWraps. No es un muy buen aspecto para la empresa. Si bien, según los informes, la empresa está tratando de limpiar sus áreas expuestas, aún dejó abierta la vulnerabilidad. Es algo así como cambiar las puertas de tu casa pero dejando las mismas cerraduras de siempre, mucho esfuerzo por poca recompensa.

Expresando desconcierto por la forma en que se desarrollaron los acontecimientos, Lynx escribe:

Todavía no puedo entender por qué SlickWraps simplemente no se comunicó conmigo para saber dónde se encuentran las vulnerabilidades fundamentales. Estaba cada vez más frustrado por el hecho de que no estaban cumpliendo con su obligación de informar a los clientes sobre la violación de la privacidad. Para comprender la gravedad de esta violación de datos, tenga en cuenta que el incumplimiento de notificar a los clientes sobre una violación de datos dentro de la UE puede resultar en multas administrativas de hasta 20 millones, o el cuatro por ciento de la facturación anual global de una empresa, lo que sea mayor.

https://twitter.com/Lynx0x00/status/1229740632773496832

Cometer un error es natural. Todo el mundo lo hace de vez en cuando. La verdadera métrica del carácter es cómo respondes cuando te descubren. En más de un sentido, SlickWraps falló en la verificación de vibraciones,

Los mejores administradores de contraseñas para Android en 2020

Video: