SlickWraps的网站上充满了漏洞
据报道,SlickWraps有一个严重的漏洞,该漏洞可能使任何博学的攻击者都可以使用其网站访问客户数据以及更多内容。
该公司还拒绝了安全研究人员试图修复漏洞的尝试。研究人员Lynx0x00自己动手,利用漏洞授予的功能来警告客户有关漏洞的信息。
安全很难。即使是像Facebook和Twitter这样的公司,在这里工作的所有聪明人和失败的高风险也仍然会不时出现数据泄露。得知以销售用于手机和笔记本电脑的可爱包裹而闻名的SlickWraps会经历自身的漏洞,这并不奇怪。
更令人担忧的是,该公司采取
你需要知道的:
据报道,SlickWraps有一个严重的漏洞,该漏洞可能使任何博学的攻击者都可以使用其网站访问客户数据以及更多内容。
该公司还拒绝了安全研究人员试图修复漏洞的尝试。
研究人员Lynx0x00自己动手,利用漏洞授予的功能来警告客户有关漏洞的信息。
安全很难。即使是像Facebook和Twitter这样的公司,在这里工作的所有聪明人和失败的高风险也仍然会不时出现数据泄露。得知以销售用于手机和笔记本电脑的可爱包裹而闻名的SlickWraps会经历自身的漏洞,这并不奇怪。
更令人担忧的是,该公司采取了积极行动的方式来主动忽略安全研究人员的警告,并按照欧盟法律的要求避免将违规行为传达给客户。
Lynx0x00在一个充满曲折的惊人作品中,在Medium上分享了整个肮脏的事物。
以下是一些重要摘录:
关于他如何访问SlickWraps数据库的信息:
该[手机外壳定制]页面包含一个不可原谅的漏洞:具有正确工具包的任何人都可以将任何文件上传到其服务器上最高目录(即“网络根目录”)中的任何位置。从那里,上传了一个简单的.htaccess文件,从而可以找到以下路径:
SlickWraps现有和以前的员工的简历(包括自拍照,电子邮件地址,家庭住址,电话号码等)
通过SlickWraps手机外壳定制工具上传的9GB个人客户照片(包括客户上传的色情内容的备份)。
由于SlickWraps公然无视任何形式的操作安全性,因此我能够轻松实现远程代码执行并解锁执行Shell命令的能力。对于初学者来说,执行shell命令的能力类似于获得万能钥匙。它解锁一切。
他可以访问的内容包括:
我能够将自己添加为他们的Zendesk平台的所有者。现在,我可以在与多个SlickWraps帐户绑定的收件箱中接收电子邮件了,我只需发送密码重置并进一步解锁:
完全可以访问其公司Slack团队-该团队中包含135,000条历史消息。
其支付网关(PayPal和Braintree)的经常账户余额和交易日志。
我发现他们的管理员面板(即SlickWraps员工和管理人员用于在SlickWraps网站上提取报告和管理内容的界面)受到了毫无意义的防火墙的粗心保护(请记住:我有“万能钥匙”)。我将自己添加为管理员用户,并立即获得了对其内容管理系统的完全控制。
本质上,访问该漏洞的任何人都可以根据自己的意愿使用SlickWraps用户的数据。这是一个非常非常非常严重的漏洞。
看来您的客户已经不满意。这不会让它变得更好... pic.twitter.com/UQNwImpMSN
-Lynx(@ Lynx0x00)2020年2月16日
并不是SlickWraps没有意识到该漏洞。Lynx详细介绍了与它们进行联系的几种尝试,从细微到最直接的尝试。每次,他不仅被拒绝,而且最终被SlickWraps Twitter帐户阻止两次。对于公司来说不是很好。据报道,尽管该公司试图清理其裸露区域,但仍使漏洞处于打开状态。这有点像在改变房屋的门,但留下了同样的旧锁,付出了很多努力却几乎没有回报。
Lynx对事件的播放方式表示困惑,Lynx写道:
我仍然无法理解SlickWraps为什么不简单地与我交流以了解基本漏洞所在的原因。他们没有按照通知客户隐私权的义务行事,这使我越来越沮丧。要了解此数据泄露的严重性,请注意,未在欧盟范围内通知客户数据泄露的行为可能导致最高2000万欧元的行政罚款,或公司全球年营业额的4%(以较高者为准)。
一个主要的安全漏洞是不好的,但很容易修复。但是,当您的整个公司都建立在成千上万个较小但同样致命的缺陷上,而您又添加了一个重大缺陷时,我不确定是否可以解决此问题……不知道它们到目前为止如何发展
-Lynx(@ Lynx0x00)2020年2月18日
犯错误是很自然的。每个人都不时做。真正的字符量度是您对被发现的反应。通过多种方式,SlickWraps通过了振动检查,
- 上一篇
Pixel 4的新Google Assistant最终与G Suite帐户兼容
你需要知道的: Google Pixel 4的新助手现已面向G Suite用户。 不过,Google的支持页面仍声称新的助手与G Suite帐户不兼容。它也尚未广泛使用,因此可能需要几周的时间,所有G Suite用户才能开始使用新的Assistant。 上个月,谷歌终于消除了强制Pixel 4用户使用新的手势导航系统访问新助手的限制。据Android Police的报道,谷歌现在删除了另一个愚蠢的限制。拥有G Suite帐户的Pixel 4和Pixel 4 XL用户最终可以使用新的助手。虽然一些Pixel
- 下一篇
OnePlus 8系列手机的发布活动将在线和离线进行
最新的OnePlus 8系列手机可能总共包括三种型号。 COVID-19的爆发影响了许多企业,尤其是当我们谈论高科技公司时。实际上,这直接影响了2020年世界移动通信大会(MWC)活动的取消。正是在那时,智能手机制造商才提出了将发布活动保持在在线平台上的解决方案。公司开始对体育赛事说不,并决定过在线会议发布其最新设备。因此,有报道称OnePlus将坚持在线会议,以在2020年推出其OnePlus 8系列手机。但是该公司最近发布了官方声明,并将这些报道称为虚构。OnePlus在其官方声明中说:“