Meghekkelt hekkerkonferencia

Kristóf Csaba
2010. augusztus 2., 08:55
Nyomtatás
A Black Hat konferencia közvetítő rendszerébe egy hiba csúszott, és ezáltal egy élelmes biztonsági szakértőnek sikerült ingyenesen igénybe vennie az amúgy több száz dolláros videószolgáltatást.

Michael Coates, a Mozilla webbiztonsági igazgatója az idén nem tudott ellátogatni a Black Hat hekkerkonferenciára, ezért úgy gondolta, hogy interneten, blogokon, fórumokon keresztül követi az eseményt. Amikor felkereste a rendezvény weboldalát, akkor örömmel látta, hogy egy újonnan indított, Black Hat Uplink nevű szolgáltatás révén, interneten keresztül is bekapcsolódhat a konferenciába. Úgy gondolta, hogy mindez számára megér 385 dollárt, ezért elkezdett regisztrálni. Biztonsági kutató mivolta persze nem engedte, hogy ne nézze meg a regisztrációs oldal kódját, amiben rövid idő alatt talált is egy hibát. Ennek kihasználásával elérte, hogy a regisztrációkor elég volt csak megadnia egy e-mail címet. Nevet, lakcímet, telefonszámot és hitelkártyaszámot nem kellett elárulnia. Ekkor még azt gondolta, hogy majd az első belépéskor kell megadnia a hitelkártyaszámot a fizetéshez, azonban mint később kiderült, erre nem volt szükség. Coates szerint annyi "hátránya” származott a trükkből, hogy nem kapott megerősítő e-mailt, amiben bent lett volna a bejelentkezéshez szükséges URL. Azonban e problémájára a Google segítségével hamar talált megoldást, majd ingyenesen tudta nézni a Black Hat eseményeit.

"Az igazsághoz hozzátartozik, hogy a Black Hat nem saját maga üzemeltette ezt a szolgáltatást. Ennek ellenére ironikus, hogy a világ legnagyobb hekkerkonferenciájának video streaming megoldásába egy ilyen biztonsági rés volt." - vélekedett Michael Coates.


Forrás: Michael Coates

A Black Hat videószolgáltatását az idén az Inxpo biztosította. Ez az első év, hogy a konferencia szervezői ilyen közvetítési lehetőséggel rukkoltak elő. Jeff Moss, a Black Hat igazgatója elmondta, hogy hasonlóan másokhoz, a konferenciák szervezőinek is számolniuk kell azokkal a kockázatokkal, amelyeket külső cégek bevonása jelent. "Mindig idegeskedek e rendszerek miatt, mert mi nem kapjuk meg a forráskódokat, és nem tudjuk felülvizsgálni azokat. Nem volt időnk video streaming szoftvert írni, ezért kértünk fel egy külső céget abban a reményben, hogy ez jó lesz." - nyilatkozta Jeff Moss.

Mielőtt Michael Coates nyilvánosságra hozta volna a felfedezését, azelőtt értesítette az Inxpo fejlesztőit a biztonsági résről, akik azt hamar meg is szüntették. Azt azonban nem lehet tudni, hogy a sérülékenységet korábban mások is felfedezték-e, és hányan nézték ingyen a hekkerkonferenciát.

Címkék:
Nyomtatás
Kapcsolódó hírek
A hozzászólások a vonatkozó jogszabályok értelmében felhasználói tartalomnak minősülnek, értük a szerkesztőség és a szolgáltatás üzemeltetője semmilyen felelősséget nem vállal! A moderálási elvekbe ütköző hozzászólásokat szerkesztőségünk bármikor törölheti.

3 hozzászólás

  1. ceka írta:
    2010-08-02 16:47:28

    "Cseszhetitek" fiúk, ha már Ti is "elkefélitek" a saját dolgaitokat!

  2. Oroszlán írta:
    2010-08-02 22:09:09

    Hát igen.Ez a matematika, végtelen negatívban és pozitívban.Így tehát mindig léteznek "kiskapuk"!

  3. Jani írta:
    2010-08-04 11:28:09

    Ez a szívás :D De bénák

ESET Online Vírusirtó
Céginfó hírek (x)