2 Kasım 2019 San Francisco / CA / ABD - Cloudflare genel merkezinin dış görünümü;  Cloudflare, Inc., bir Ameircan web altyapısı ve web sitesi güvenlik şirketidir.

2 Kasım 2019 San Francisco / CA / ABD – Cloudflare genel merkezinin dış görünümü; Cloudflare, Inc., bir Ameircan web altyapısı ve web sitesi güvenlik şirketidir.
Fotoğraf: Çeşitli Fotoğrafçılık (Shutterstock)

Geçen yıl, BT firması Cloudflare başlatılan kullanıcılara aynı gelen kutusuna bağlı çok sayıda adres oluşturma olanağı veren bir e-posta yönlendirme hizmeti. E-posta yönlendirme güçlü olabilir gizlilik aracı, gerçek e-posta adresinizi geçici veya “yakılabilir” adresler ağının arkasına gizlemenize izin verdiği için. Ne yazık ki, gösterildiği gibi Araştırma Danimarka’dan bir üniversite öğrencisi tarafından Çarşamba günü yayınlanan Cloudflare’nin hizmetinde dev bir hata vardı. Kusur, düzgün bir şekilde kullanıldığında, herhangi bir kullanıcının diğer kullanıcıların e-postalarını okumasına ve hatta değiştirmesine izin verdi.

Şu anda Midtjylland’daki Skive College’da öğrenci olan Albert Pedersen, Aralık ayında istilacı güvenlik açığını keşfettiğini yazdı. İçinde yazma Pedersen, web sitesinde yayınlanan hatanın, bir bilgisayar korsanının “hizmeti kullanarak herhangi bir etki alanının yönlendirme yapılandırmasını değiştirmesine” izin vereceğini açıkladı.

“Merak ediyorum ve kırılıp kırılmadıklarını görmek için bir şeyleri dürtmeyi seviyorum. İnterneti güvende tutmaya yardımcı olmak istiyorum, ”dedi Pedersen, Gizmodo’ya doğrudan bir mesajla. “Bilgisayarlar ve BT ile ilgili her şeye her zaman ilgi duymuşumdur. İlk hatamı geçen yılın Nisan ayında buldum ve bildirdim ve o zamandan beri böcek avlamak için çok zaman harcadım.”

Cloudflare’ın güvenlik açığı onayladı ancak hiçbir zaman istismar edilmediğini söylüyor, programın “bölge sahipliği doğrulama” sisteminde bir kusur içeriyordu, bu da bir bilgisayar korsanının kendilerine ait olmayan e-posta alanları için e-posta yönlendirmesini ve yönlendirmesini yeniden yapılandırmasının mümkün olduğu anlamına geliyordu. İstismarın uygun şekilde manipüle edilmesi, hatayı bilen birinin, herhangi bir kullanıcının e-postalarını kendi adreslerine yeniden yönlendirmesine izin verebilirdi. Ayrıca, bir bilgisayar korsanının belirli e-postaların hedefe gönderilmesini engellemesine de izin verirdi.

Pedersen yazısında, Cloudflare hizmetine eklenmiş e-posta adreslerinin çevrimiçi listelerini bulmanın o kadar da zor olmadığını belirtiyor. Bu listelerden birini kullanarak, kötü bir adam yönlendirme hizmetini kullanan herkesi kolayca hedef alabilirdi.

İstismarı keşfettikten sonra Pedersen, birden fazla kişisel etki alanı kullanarak onu birkaç kez yeniden oluşturmayı başardı ve sorunu Cloudflare’a bildirmeye karar verdi. böcek ödülü programı. Program sonunda çabaları için ona toplam 6.000 dolar verdi. Pedersen, blogunun Cloudflare’ın izniyle yayınlandığını da söylüyor.

Bir şirket temsilcisi, Gizmodo’ya gönderdiği bir e-postada, hatanın keşfedildikten hemen sonra düzeltildiğini yineledi: “Araştırmacının blogunda özetlendiği gibi, bu güvenlik açığı hata ödül programımız aracılığıyla açıklandı. Ardından sorunu çözdük ve güvenlik açığından yararlanılmadığını doğruladık.”

Olmaması iyi bir şey çünkü eğer bir bilgisayar korsanı vardı Bu istismarı ele geçirdiklerinde, gerçek bir gelen kutusu hasarına neden olabilirlerdi. Pederson yazısında, bir siber suçlunun bu hatayı şifreleri sıfırlamak için kullanabileceğini ve bunun da istismar edilen e-posta adresiyle bağlantılı diğer hesapları tehdit edebileceğini belirtiyor:

“Bu sadece büyük bir gizlilik sorunu değil, aynı zamanda şifre sıfırlama bağlantılarının genellikle kullanıcının e-posta adresine gönderilmesi nedeniyle, kötü bir oyuncu potansiyel olarak o e-posta adresiyle bağlantılı herhangi bir hesabın kontrolünü ele geçirebilir. Bu, neden 2 faktörlü kimlik doğrulamayı kullanmanız gerektiğine dair güzel bir örnek” diye yazdı.

Gerçek! 2 faktörlü kimlik doğrulamayı kullanın! Sadece şunu gösteriyor: Mümkün olduğu kadar çok ineğin interneti izlemesine ihtiyacımız var çünkü kulağa harika gelen bir şeyin ne zaman gerçekten devasa bir güvenlik felaketi olacağını asla bilemezsiniz.



genel-7