Androide

Empresa de correo web para pagar el premio después de que el CEO pirateara

5.16.19 21st Annual Top 10 Tech Trends

5.16.19 21st Annual Top 10 Tech Trends
Anonim

Una compañía de correo web segura que desafió a los piratas informáticos a entrar en el sistema de correo web de la compañía está pagando un premio de $ 10,000, solo días después de iniciar el concurso.

Un equipo de piratas informáticos gestionados para piratear la cuenta de correo web del CEO de StrongWebmail, Darren Berkovitz, usando lo que se conoce como un ataque de secuencias de comandos entre sitios (XSS), confirmó la compañía el lunes. "Lo hicieron usando un script XSS que aprovechó una vulnerabilidad en el programa back-end webmail", dijo StrongWebmail en un comunicado.

StrongWebmail lanzó el concurso a finales de mayo como una forma de promover la tecnología de identificación basada en voz. vendido por su empresa matriz, Telesign. A los piratas informáticos se les proporcionó la dirección de correo electrónico y la contraseña de Berkovitz y se les impidió acceder a la cuenta. La compañía pensó que esto sería difícil porque StrongWebmail requiere una contraseña especial que se llama por teléfono al usuario antes de que se pueda acceder al correo electrónico.

[Lectura adicional: cómo eliminar el malware de su PC con Windows]

Científico jefe científico seguro Sin embargo, Lance James y sus colegas hackers Aviv Raff y Mike Bailey encontraron una puerta trasera en una falla común en la Web, y afirmaron que habían ganado el concurso el jueves pasado. La declaración de StrongWebmail confirmó que habían pirateado la cuenta de correo electrónico de Berkovitz.

En scripts de sitios cruzados, el atacante aprovecha un error en el servidor web para ejecutar un script web malicioso en el navegador de la víctima, esencialmente tomando el control del navegador.

Los piratas informáticos encontraron la falla en la Web en un minuto, dijo James, y luego pasaron unas seis horas perfeccionando su ataque. No hay mucho trabajo para un pago de $ 10,000.

StrongWebmail dijo que "no fue disuadido" por la conclusión rápida del concurso y que lanzaría una nueva competencia una vez que se solucionara este error. "No descansaremos hasta que hayamos creado el correo electrónico más seguro del mundo", dijo la compañía.

El error utilizado por los piratas informáticos estaba en realidad en el software de correo Rackspace Web utilizado para alimentar StrongWebmail, no en el El sistema de autenticación Telesign que StrongWebmail fue creado para promocionar, Berkovitz dijo en una entrevista por correo electrónico.

El monto del premio y las reglas del próximo concurso aún no se han determinado, agregó. "Vamos a tratar de hacer que el próximo concurso sea realmente sobre la violación de la porción que TeleSign protege", dijo. "El correo electrónico que hemos licenciado es obviamente de un proveedor grande y confiable, pero hay mucho que podemos hacer para asegurarnos de que no tengan agujeros".

En un correo electrónico enviado a James y visto por IDG News Service, la compañía lo felicitó por sus habilidades de pirateo. "Usted y su equipo son bastante impresionantes, ¿cuáles son sus tasas de consulta?" el correo electrónico dice.