קרדיט: בוב אל-גרין / mashable
רָפוּיועשרות משתמשי אפליקציות שולחן העבודה פשוט התחמקו מכדור גדול.
כלי התקשורת שעליו מסתמכים עיתונאים, עובדי טכנולוגיה ומעריצי D&D כאחד, נחשף ביום שישיפגיעות "קריטית".- עכשיו תוקן - זה היה מאפשר להאקרים להשתולל במחשבי המשתמשים. צוות האבטחה הפנימי של סלאק אפילו לא מצא את הבאג; במקום זאת, זה היה אבטחה של צד שלישי שנחקר שדיווח על כך, דרך ה-שפע באגפּלַטפוֹרמָהHackerOneבינואר.
יש לציין שהניצול אפשר משהו המכונה "ביצוע קוד מרחוק", וזה גרוע בדיוק כמו שזה נשמע. לפני ש-Slack תיקן את זה, תוקף שמשתמש ב-exploit יכול היה לעשות כמה דברים די פראיים, כמו השגת "גישה לקבצים פרטיים, מפתחות פרטיים, סיסמאות, סודות, גישה לרשת פנימית וכו'", ו"גישה לשיחות פרטיות, קבצים וכו'. . בתוך Slack."
מה שכן, לפיהחשיפה, האקרים בעלי נטייה זדונית יכלו להפוך את ההתקפה שלהם ל"ניתנת לתילוע". במילים אחרות, אם אדם אחד בצוות שלך יידבק, החשבון שלו ישתף מחדש אוטומטית את המטען המסוכן הזה עם כל עמיתיו.
ראוי להדגיש כי חוקר האבטחה שגילה את הפגיעות הזו - תהליך שלוקח שעות עבודה בלתי ספורות והואעבודה מילולית- החליט לעשות מה שרבים יחשבו כדבר הנכון ולדווח על כך ל-Slack דרך HackerOne. עבור חוקר האבטחה, שהידית של HackerOne שלו היאאוסקר, זה הביא לתשלום פרס באג של $1,750.
כמובן, אילו היה האדם הזה רצה, סביר להניח שהוא היה יכול לקבל הרבה הרבה יותר כסף על ידי מכירתו למתווך צד שלישי. חברות אוהבותאפס, שמציעות מיליוני דולרים עבור ניצול יום אפס, בתורולמכור את המנצלים האלהלממשלות.
מהירות אור ניתנת לריסוק
חברי קהילת אבטחת המחשבים מיהרו להצביע על התשלום הזעום יחסית עבור באג כה חשוב.
ייתכן שהציוץ נמחק
ייתכן שהציוץ נמחק
ייתכן שהציוץ נמחק
פנינו ל-Slack במאמץ לקבוע כיצד היא מחליטה על גודל תשלומי הבאגים שלה, והאם הייתה לה תגובה או לא לביקורת שהוטלה על ידי חברי קהילת האבטחה. בתגובה, השיב דובר החברה כי הסכום שסלאק משלם עבור פרסי באגים אינו קבוע באבן.
"תוכנית פרס הבאג שלנו היא קריטית לשמירה על בטיחות סלאק", כתב הדובר בחלקו. "אנו מעריכים מאוד את התרומות של קהילות האבטחה והמפתחים, ואנו נמשיך לסקור את סולם התשלומים שלנו כדי להבטיח שאנו מכירים בעבודתם ויוצרים ערך עבור הלקוחות שלנו".
הדובר גם ציין כי החברה "הטמיעה תיקון ראשוני עד ה-20 בפברואר".
ראה גם:7 הגדרות פרטיות רפויות שעליך להפעיל כעת
מעניין לציין כי נראה ש-Slack העלתה את הסכום שהוא מוכן לשלם לחוקרי פרס באג עבור חשיפה מתואמת. מבט עליועמוד הפרופיל של HackerOneמראה כי נכון למועד כתיבת שורות אלה, דיווח על פגיעות של ביצוע קוד מרחוק יזכה ב-"$5000 ומעלה".
מאוחר מדי עבור אוסקרים, אבל אולי זה יעודד את חוקר האבטחה הבא שיגלה פגיעות קריטית ב-Slack לדווח על כך לחבר'ה הטובים. אנחנו צריכים לקוות שכן, למען משתמשי Slack בכל מקום.
עדכון: 29 באוגוסט 2020, 13:49 PDT:הסיפור הזה עודכן כך שיכלול את ההצהרה של סלאק.
צפו: קל להפתיע להיות בטוח יותר באינטרנט
פרנואידית מקצועית. מכסה פרטיות, אבטחה וכל מה שקשור למטבעות קריפטוגרפיים ובלוקצ'יין מסן פרנסיסקו.
ניוזלטרים אלה עשויים להכיל פרסומות, עסקאות או קישורי שותפים. בלחיצה על הירשם, אתה מאשר שאתה בן 16+ ומסכים לנותנאי שימושומדיניות פרטיות.
