Tvrtka web-pošte platiti nagradu nakon što je izvršni direktor sjeckan

Sigurna web mail tvrtka koja je izazvala hakere da uđu u sustav web-pošte tvrtke naplaćuje nagradu od 10.000 USD, samo nekoliko dana nakon pokretanja natječaja.

Tim hakera uspio je kako bi se srušio na račun web-pošte CEO-a StrongWebmaila Darren Berkovitz, korištenjem napada koji se naziva napadom križanja (XSS), tvrtka je potvrdila u ponedjeljak. "Oni su to učinili pomoću XSS skripte koja je iskoristila ranjivost u programu webmail za backend", rekao je StrongWebmail u izjavi.

StrongWebmail pokrenuo je natječaj krajem svibnja kao način promoviranja tehnologije za identifikaciju glasom koju je prodala njegova matična tvrtka Telesign. Hakeri su dobili Berkovitzovu adresu e-pošte i lozinku, a potaknuli su ih da uđu u račun. Tvrtka je mislila da će to biti teško jer StrongWebmail zahtijeva posebnu lozinku koja se telefonira korisniku prije nego što se e-pošta može pristupiti.

[Daljnje čitanje: Kako ukloniti zlonamjerni softver s vašeg Windows računala]

Secure Science Chief Scientist Međutim, Lance James i njegovi kolege hakeri Aviv Raff i Mike Bailey pronašli su stražnja vrata uobičajenim web nedostatkom i tvrdili da su prošlog četvrtka pobijedili na natječaju. StrongWebmailova izjava potvrdila je da su doista poubijali na račun e-pošte tvrtke Berkovitz.

U skriptiranju na više mjesta, napadač iskorištava bug na web poslužitelju kako bi pokrenuo zlonamjernu web-skriptu u pregledniku žrtve, od preglednika.

Hakeri su pronašli web nedostatak u roku od minute, rekao je James, a potom proveo oko šest sati usavršavanja napada. Nije puno posla za isplatu od 10.000 dolara. StrongWebmail je rekao da nije "odgonetan" zbog brzog zaključka natječaja i da će pokrenuti novo natjecanje nakon što je taj bug ispravljen. "Nećemo se odmarati sve dok ne stvorimo najsigurniju e-poštu na svijetu", rekla je tvrtka.

Bug koji su hakeri koristili zapravo je u programu Rackspace web mail koji je korišten za napajanje StrongWebmail, a ne u Telesignov sustav autentifikacije koji je StrongWebmail stvoren za promicanje, rekao je Berkovitz u intervjuu e-mailu.

Nagradu i pravila sljedećeg natjecanja još se moraju odrediti, dodao je. "Pokušat ćemo napraviti sljedeći natječaj stvarno o prekršenju dijela koji TeleSign štiti", rekao je. "E-pošta koju smo licencirali očito je od velikog i pouzdanog pružatelja usluga, ali samo toliko možemo učiniti kako bismo osigurali da nemaju rupe na svom kraju".

U e-mail poslanoj Jamesu i pregledan od strane IDG News Service, tvrtka ga je pohvalio na njegovu sjeckanje vještine. "Vi i vaš tim su vrlo impresivni - koje su vaše stope savjetovanja?" države e-pošte.