昨日の日中、多くのメディアが、Pornhub がサイバー犯罪者に攻撃されたという、想定されるニュースを報道しました。この情報は拡散するのにそれほど時間はかかりませんでした。また、責任者がサイトのサーバーへのアクセスを千ドルで販売することに専念していたと主張する情報もありました。
間違いなくアシュレイ・マディソンを彷彿とさせる出来事であり、大きな波紋を引き起こすことがアプリオリに予測されていた出来事だった。しかし、「約束したこと」にもかかわらず、すべてがそれが冗談であったことを示しています。少なくともそれが同社の主張であり、同社は著者の説明によれば、この攻撃は「技術的に不可能」であると発表した。しかし、説明しましょう。
疑惑の攻撃
#pornhubコマンドインジェクション + サブドメインのシェル + 販売用ソース
— 1×0123 (@1×0123) 2016年5月14日
xmpp : revolver@rows.io pic.twitter.com/rWjaUOkkhY
このようにして、問題の鍵を理解するには、リボルバーとして知られる Twitter ユーザー (19 歳の若者) がマイクロブログ プラットフォーム上で成人のサーバーにアクセスしたと主張した週末に戻る必要があります。彼は、この作品を興味のある人に千ドルで販売すると申し出ました。
彼は主張しただけでなく、自分の行為を理論的に証明する特定のスクリーンショットをアップロードしたとされる行為だが、 CSOのサイトによると、サイトへの完全アクセスを許可するプロフィールシステムの障害のおかげで彼はなんとか実行できたという。 3人にまで売ったチケット。
しかし、Pornhbub は当初、「運用サーバーではなくテスト サーバー」に入ったこと、また 6,000 万人の毎日のユーザーのデータはいかなる状況でも漏洩していないと報告したにもかかわらず、この組織が関与するのにそれほど時間はかかりませんでした。電池を入れて調べます。
システム管理者がディレクトリをロックするのを忘れると、これが起こります。 #pornhub pic.twitter.com/lPu1ruRfcI
— 1×0123 (@1×0123) 2016年5月14日
結果?分析後、ハッカーとされる人物と接触した後、彼が説明した手法は「技術的に不可能」であることがわかったということです。一種の「詐欺」であり、その意図は不明ですが、間違いなく企業のイメージを損なう可能性があり、ほんの数週間前にロイターが同様の事件を報告したことから、この種の詐欺は明らかに特殊なものではありません。
その際、疑惑のセキュリティ侵害は主要な電子メール サービスに関連しており、そのニュースは数百のブログにも広まりましたが、後に数人の専門家とセキュリティ会社によって否定されました。
その他の考慮事項
もう脆弱性は報告しません
— 1×0123 (@1×0123) 2016年5月14日
地下に行くか、どこかに行ってください#FuckBugBounty
一方で、この行為は、企業がポイントプログラムを立ち上げた直後に行われるという事実、Google や Facebook などの他社ではよくある慣行であり、それを可能にするシステムであるという事実も見逃してはなりません。脆弱性を発見し、それを発見した人に報酬を与えることで、すべての関係者が勝利します。
piwik の脆弱性を@FreedomofPressに報告してくれた@1×0123に感謝します。素晴らしい仕事だ。バグレポートはありますか?詳細は@ageisまでお問い合わせください。
— エドワード・スノーデン (@Snowden) 2016 年 4 月 10 日
実際、Pornhubはこれらの検出に対して最大25,000ドルを支払うと述べており、関心のあるハッカーに対し引き続きこの問題の調査を続けるよう奨励し続けている。この点で、Revolver は「立ち直り」、再び脆弱性を報告しないようにしたようです。あなたのハッシュタグは? #FuckBugBounty 。
言われたことはさておき、このハッカーがここ数カ月非常に活発に活動していたこと、そしてエドワード・スノーデン自身が1か月弱前にPiwickのセキュリティ・ホールを報告してくれた彼に個人的に感謝していたことを言及するのは重要である。
経由 | マザーボード