Peneliti keamanan dan pengembang Jonathan Rudenberg telah menunjukkan bahwa trik SMS bluffing tua menyelinap melewati tim keamanan sosial-media raksasa Facebook dan Twitter, dan US Venmo pembayaran aplikasi mobile.
Cacat memanfaatkan kemampuan bagi penyerang untuk menentukan apa nomor telepon SMS berasal dari, bersama dengan kurangnya pemeriksaan di tempat di Facebook, Twitter dan sisi Venmo untuk memverifikasi bahwa informasi yang otentik.
Seorang penyerang memanfaatkan kebiasaan ini curang bisa membuat amend cachet atau pembayaran adaptable di backbone fitur ini telah dibuat tersedia melalui SMS.
Rudenberg mendokumentasikan respon dari ketiga perusahaan di blog-nya , dan dari mereka, Venmo adalah tercepat untuk menanggapi masalah ini. Menjadi perusahaan yang relatif kecil, Rudenberg punya masalah dengan menemukan kontak yang tepat untuk berbicara mengenai kerentanan. Setelah ia menghubungi Braintree, yang dibeli Venmo hanya baru-baru, tim keamanan menutup fitur untuk pembayaran adaptable melalui SMS hanya dua hari kemudian.
Ini perlu dicatat pada titik ini bahwa Venmo tidak memiliki tim keamanan yang luas. Ini memang memiliki resiko yang berdedikasi dan manajer penipuan, Eran Kimchi, tapi dia bukan bagian dari tim software, dan, dilihat dari latar belakangnya di Google dan PayPal, ia tampaknya lebih dari sebuah tipe analis.
Facebook dan Twitter, yang terkenal memiliki tim keamanan khusus, tidak begitu cepat untuk merespon, meskipun Rudenberg menggunakan pengaruhnya untuk memaksa kedua perusahaan untuk memberikan perhatian yang lebih besar masalah. Rudenberg awalnya diberitahu Facebook dari masalah pada 19 Agustus. Gagal mendapat jawaban, ia punya teman di dalam benjolan masalah internal, dan menerima pemberitahuan bahwa masalah tersebut telah diselesaikan pada 28 November - 101 hari kemudian.
Twitter, di sisi lain, mengambil 107 hari, setelah Rudenberg diberitahu itu pada tanggal 19 Agustus.
"Masalah saya mengajukan awalnya diperiksa oleh anggota tim keamanan mereka, namun kemudian diteruskan ke tim dukungan normal, yang tidak percaya bahwa bluffing SMS itu mungkin Saya kemudian mengulurkan tangan langsung ke seseorang di tim keamanan,. Yang mengatakan bahwa itu adalah 'isu lama,' tetapi mereka tidak ingin saya untuk mempublikasikan sampai mereka mendapat 'memperbaiki di tempat. " Saya tidak menerima komunikasi lebih lanjut dari Twitter, "tulis Rudenberg di blog-nya.
Rudenberg meminta amend tentang isu pada tanggal 15 Oktober, dan, setelah menerima respon, diberitahu Twitter pada tanggal 28 November bahwa ia akan mengungkapkan masalah ini secara terbuka. Setelah penulisan kerentanan dan announcement di blog-nya kemarin, Twitter telah datang kembali hari ini dan menegaskan bahwa masalah tersebut telah diselesaikan.
Untuk usahanya, Rudenberg akan menerima karunia bug basal US $ 500 dari Facebook. Baik Twitter maupun Venmo memiliki skema karunia yang sama. Pada saat penulisan, Rudenberg tidak terdaftar oleh Twitter pada daftar Topi Putih yang ingin mengucapkan terima kasih untuk meningkatkan keamanan, sebuah kesopanan yang saya percaya Rudenberg lebih dari layak.
Respon Venmo itu sudah dijamin, mengingat bahwa uang pelanggan 'beresiko, tetapi yang berbicara banyak tentang bagaimana Facebook - dan Twitter, pada tingkat lebih rendah - melihat reputasi dan informasi pribadi dari para penggunanya. Saya berpendapat bahwa informasi pribadi yang lebih berharga daripada uang, mengingat bahwa uang selalu bisa diganti, ada bentuk-bentuk asuransi untuk itu. Sebuah reputasi yang menghancurkan atau informasi pribadi bocor, bagaimanapun, adalah selamanya.
Mengingat bahwa masalah ini tidak akan mempengaruhi mayoritas base pengguna, mengapa tidak announcement melalui SMS hanya dinonaktifkan sementara memperbaiki dicari? Coding memperbaiki akan menjadi masalah yang kompleks, tetapi pemahaman itu bisa membahayakan seharusnya tidak mengambil yang lama. Setelah semua, sebuah startup kecil yang enam bulan lalu nyaris tidak memiliki 25 karyawan bisa mengetahui masalah dalam beberapa hari.
Yang benar adalah, Twitter dan Facebook mungkin tidak melihat masalah sebagai cukup signifikan untuk menjamin ketidaknyamanan kepada pengguna. Dan apa artinya ini adalah bahwa bahkan jika mereka mengatakan privasi dan keamanan yang seharusnya menjadi masalah mereka yang batten penting, mereka telah kehilangan prioritas untuk kenyamanan lagi .
Tidak ada komentar:
Posting Komentar