Tesla betaalt onderzoeker 10.000 dollar wegens vergeten update
Tesla heeft een beveiligingsonderzoeker 10.000 dollar betaald omdat het vergeten was een beschikbare beveiligingsupdate voor Microsoft SQL Server te installeren. Op dinsdag 11 februari kwam Microsoft met een patch voor een kwetsbaarheid in Microsoft SQL Server Reporting Services waardoor een aanvaller op afstand code zou kunnen uitvoeren. Alleen het versturen van een speciaal geprepareerde "page request" zou voldoende zijn.
De kwetsbaarheid was gevonden door beveiligingsonderzoeker Soroush Dalili van securitybedrijf MDSec, die op 14 februari details over de kwetsbaarheid en een proof-of-concept request publiceerde. Via deze request was het beveiligingslek te demonstreren. Een Duitse beveiligingsonderzoeker met de naam Parzel ontdekte dat Tesla de beschikbare beveiligingsupdate voor één van de servers nog niet had uitgerold en de server daardoor kwetsbaar was.
De onderzoeker ontwikkelde vervolgens een exploit waardoor hij willekeurige code op de Tesla-server had kunnen uitvoeren om die vervolgens volledig over te nemen. Tesla biedt onderzoekers via het bugbountyplatform Bugcrowd beloningen voor het melden van kwetsbaarheden. Parzel rapporteerde zijn bevinding op 15 februari bij Bugcrowd en kreeg afgelopen dinsdag 10.000 dollar voor zijn bugmelding toegekend.
Als je niet heel de dag achter dat scherm zit te wachten om zo snel mogelijk updates te installeren, hoeveel respect heb je dan nog voor developers die werkelijk alles doen om dagelijks je gebruikers en advertentie ervaring te verbeteren?
Die stoere software jongens, die elke dag bereid zijn om zo snel mogelijk nieuwe dingen te lanceren, desnoods volledig ongetest en bereid om alle risico's van dien recht in de ogen te zien? Dat ze al die lakse klanten maar snel ergens ver naar Siberië sturen of zo. Want de markt schreeuwt toch zelf om de vooruitgang, altijd maar wat nieuws. Oppakken, al die update weigeraars. En vergeet mijn buren niet. Die hebben al een jaar lang hun voortuin niet geupdate. En dat gaat wel ten koste van de waarde van mijn huis!
Ja criminelen willen tenminste 100x zoveel.
Ja criminelen willen tenminste 100x zoveel.
Criminelen zijn lui en dom. Ransomware wordt vaak door een crimineel gekocht. Een kant-en-klare toolkit om een ramsomware aanval uit te voeren. Enige wat de crimineel doet is zijn BTC adres toevoegen.
En het is Ransomware niet Ransomeware ;)
Weet je zeker dat het geen huurtokkies zijn die door een aspirant koper zijn ingezet?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
