Firma Web Mail Company, aby wypłacić nagrodę Po CEO Hacked

Bezpieczna firma internetowa, która rzuciła wyzwanie hakerom, aby włamali się do firmowego systemu poczty internetowej, wypłaca nagrodę w wysokości 10 000 USD, kilka dni po rozpoczęciu konkursu.

Zespół hakerów zarządzany włamać się na konto sieciowe StrongWebmail Darren Berkovitz, używając tzw. ataku cross-site scripting (XSS), firma potwierdziła w poniedziałek. "Zrobili to za pomocą skryptu XSS, który wykorzystał lukę w zabezpieczonym programie pocztowym" - powiedział StrongWebmail w oświadczeniu.

StrongWebmail ogłosił konkurs pod koniec maja jako sposób na promowanie technologii identyfikacji głosowej sprzedane przez jego spółkę dominującą, Telesign. Hakerom nadano adres e-mail i hasło Berkovitz i zakwestionowano, aby włamać się na konto. Firma uznała, że ​​będzie to trudne, ponieważ StrongWebmail wymaga specjalnego hasła, które jest telefonowane do użytkownika, zanim będzie można uzyskać dostęp do poczty e-mail.

[Więcej informacji: Jak usunąć złośliwe oprogramowanie z komputera z systemem Windows]

Bezpieczny szef naukowej nauki Jednak Lance James i jego koledzy hakerzy Aviv Raff i Mike Bailey znaleźli tylne drzwi we wspólnej wadzie internetowej i twierdzili, że wygrali konkurs w zeszły czwartek. Oświadczenie StrongWebmaila potwierdziło, że rzeczywiście włamali się na konto e-mailowe Berkovitz.

W skryptach cross-site atakujący korzysta z błędu na serwerze sieci Web, aby uruchomić złośliwy skrypt internetowy w przeglądarce ofiary, zasadniczo przejmując kontrolę przeglądarki.

Hakerzy znaleźli błąd sieciowy w ciągu minuty, powiedział James, a następnie spędzili około sześciu godzin na doskonaleniu swojego ataku. Niezbyt dużo pracy przy wypłacie w wysokości 10 000 $.

StrongWebmail powiedział, że "nie zniechęciło" to szybkie zakończenie konkursu i rozpocznie nowy konkurs po naprawieniu tego błędu. "Nie spoczniemy, dopóki nie stworzymy najbezpieczniejszej wiadomości e-mail na świecie" - podała firma.

Błąd używany przez hakerów był faktycznie w oprogramowaniu poczty Rackspace Web używanym do zasilania StrongWebmail, a nie w System uwierzytelniania Telesign, który StrongWebmail został stworzony do promowania, powiedział Berkovitz w wywiadzie e-mailowym.

Kwota nagród i zasady następnego konkursu jeszcze nie zostały ustalone, dodał. "Postaramy się, aby następny konkurs naprawdę polegał na naruszeniu części zabezpieczonej przez TeleSign" - powiedział. "Adres e-mail, na który otrzymaliśmy licencję, pochodzi oczywiście od dużego i niezawodnego dostawcy, ale możemy zrobić tylko tyle, aby upewnić się, że nie mają dziur pod koniec."

W e-mailu wysłanym do Jamesa i oglądany przez IDG News Service, firma komplementowała go w kwestii jego umiejętności hakerskich. "Ty i twój zespół jesteście imponujący - jakie są wasze konsultingowe stawki?" stan e-mail.