Gehackte provider daagt hackers opnieuw uit
De Amerikaanse e-mailprovider die 10.000 dollar uitloofde voor het kraken van de directeur zijn e-mailaccount, is ondanks een succesvolle poging door een trio hackers van plan om een nieuwe wedstrijd te organiseren. Volgens StrongWebmail was de eigen maildienst zo veilig, dat een hacker zelfs met een gebruikersnaam en wachtwoord niet zou kunnen inloggen, aangezien er ook een pincode is vereist, die via SMS wordt verstuurd. Om aandacht te genereren organiseerde het bedrijf een wedstrijd waarbij het 10.000 dollar uitloofde voor de hacker die toegang tot het account van de directeur zou krijgen.
Lance James, Aviv Raff en Mike Bailey wisten dit klusje via een Cross-site Scripting kwetsbaarheid te klaren. Het trio onderzoekers had het lek in de Rackspace webmail client binnen een minuut gevonden, en waren daarna zes uur bezig om hun aanval te perfectioneren. Het bedrijf heeft de aanval nu bevestigd en de 10.000 dollar uitbetaald. Toch laat het bedrijf zich niet afschrikken, zo laat het op de eigen website weten. "We rusten niet voordat we de meest veilige e-mail in de wereld hebben gemaakt." Voor de nieuwe wedstrijd zal het echter de regels aanscherpen, zodat hackers zich alleen op de SMS-authenticatie mogen richten.
Dat er daarnaast nog andere opties zijn, die wat minder veilig zijn..... Soit.
Als je als doel kiest het "meest veilige e-mail in de wereld" te maken, moet je ze het hele systeem laten testen en niet een specifiek onderdeel.
Nee dan heb je blijkbaar een flink gebrek aan gekwalificeerd personeel..... en ben je een heeel klein beetje publiciteits geil.
Dat hackers niet door je systeem komen is leuk, maar garandeert niets. Een ontwerp en QA garanderen ook niets, maar tonen aan dat er is nagedacht over architectuur en met oog voor detail is gebouwd. Hebben ze iets over het hoofd gezien, dan is dat makkelijk te achterhalen en te repareren. HTML injection in het subject, waarmee de boel gehackt is, is wel erg knullig.
Zodra het bedrijf dit soort regels instelt, is de wedstrijd nutteloos. Immers zullen kwaadaardige hackers zich ook niet aan dergelijke regels houden. Het ondermijnt ook het hele doel van de wedstrijd; aantonen dat de dienst veilig is. Indien men slim is, schrapt men deze regels, zodat men kan laten zien dat men het design (hopelijk) daadwerkelijk zo verbetert dat het niet lukt om het systeem te kraken.
naja, als je zelf bij de AIVD werkt is dat een leuke bonus toch? :)
Hahahah +1
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
