Компания Web Mail заплатила премию после того, как генеральный директор взломал

Защищенная веб-почтовая компания, которая бросила вызов хакерам на проникновение в систему электронной почты компании, выплачивает приз в размере 10 000 долларов США всего через несколько дней после запуска конкурса.

Команда хакеров чтобы взломать веб-учетную запись StrongWebmail CEO Darren Berkovitz, используя так называемую атаку межсайтового скриптинга (XSS), подтвержденную компанией в понедельник. «Они сделали это, используя сценарий XSS, который воспользовался уязвимостью в бэкэнд-программе веб-почты», - говорится в заявлении StrongWebmail в заявлении.

StrongWebmail начал конкурс в конце мая в качестве способа продвижения технологии голосовой идентификации проданный его материнской компанией Telesign. Хакеры получили адрес электронной почты и пароль Berkovitz и бросили вызов войти в аккаунт. Компания считает, что это будет сложно, потому что StrongWebmail требует специального пароля, который дозволяется пользователю до того, как будет доступен доступ к электронной почте.

[Дополнительная информация: Как удалить вредоносное ПО с вашего ПК с Windows]

Главный научный сотрудник Secure Science Однако Лэнс Джеймс и его товарищи-хакеры Авив Рафф и Майк Бэйли обнаружили черный ход в общем сетевом изъяне и заявили, что выиграли этот конкурс в прошлый четверг. Заявление StrongWebmail подтвердило, что они действительно взломали учетную запись электронной почты Berkovitz.

В межсайтовом сценарии злоумышленник использует ошибку на веб-сервере для запуска вредоносного веб-скрипта в браузере жертвы, браузера.

Хакеры обнаружили ошибку Сети в течение минуты, сказал Джеймс, а затем провели около шести часов, совершенствуя свою атаку. Не большая работа за выплату в размере 10 000 долларов.

StrongWebmail сказал, что это было «не сдерживается» быстрым заключением конкурса и будет запускать новый конкурс после исправления этой ошибки. «Мы не успокоимся, пока не создадим самую безопасную электронную почту в мире», - говорится в сообщении компании.

Ошибка, используемая хакерами, была фактически в программном обеспечении Rackspace Web, используемом для питания StrongWebmail, а не в Telesign система аутентификации, которая была создана StrongWebmail для продвижения, сказал Берковиц в интервью по электронной почте.

Сумма приза и правила следующего конкурса еще не определены, добавил он. «Мы собираемся попытаться сделать следующий конкурс действительно о нарушении части, которую TeleSign защищает», - сказал он. «Электронная почта, которую мы лицензировали, очевидно, принадлежит большому и надежному провайдеру, но есть только так много, что мы можем сделать, чтобы у них не было отверстий на их конце».

В электронном письме, отправленном Джеймсу и просмотренный службой новостей IDG, компания похвалила его своими навыками взлома. «Вы и ваша команда впечатляют - каковы ваши расчетные ставки?» состояния электронной почты.