В прошлом году ИТ-фирма Cloudflare запущен служба маршрутизации электронной почты, дающая пользователям возможность настроить большое количество адресов, подключенных к одному и тому же почтовому ящику. Маршрутизация электронной почты может быть мощным инструмент конфиденциальности, так как это позволяет скрыть ваш фактический адрес электронной почты за сетью временных или «выжигаемых» адресов. К сожалению, как показано в исследовательская работа опубликовано в среду студентом колледжа из Дании, в сервисе Cloudflare обнаружена гигантская ошибка. Уязвимость при правильном использовании позволяла любому пользователю читать или даже манипулировать электронной почтой других пользователей.
Альберт Педерсен, который в настоящее время учится в Skive College в Мидтьюлланде, написал, что обнаружил инвазивную уязвимость еще в декабре. В записать опубликованный на его веб-сайте, Педерсен объяснил, что ошибка позволила бы хакеру «изменить конфигурацию маршрутизации любого домена, использующего службу».
«Мне любопытно, и я люблю ковырять вещи, чтобы посмотреть, не сломаются ли они. Я хочу помочь обеспечить безопасность Интернета», — сказал Педерсен Gizmodo в прямом сообщении. «Меня всегда интересовало все, что связано с компьютерами и информационными технологиями. Я нашел и сообщил о своей первой ошибке еще в апреле прошлого года, и с тех пор я потратил много времени на поиск ошибок».
Уязвимость, которую Cloudflare была подтверждена но говорит, что никогда не эксплуатировался, связан с недостатком в системе «проверки владения зоной» программы, что означает, что хакер мог перенастроить маршрутизацию и пересылку электронной почты для доменов электронной почты, которые им не принадлежали. Правильное манипулирование эксплойтом позволило бы кому-то, кто знает об ошибке, перенаправить электронные письма любых пользователей на свой собственный адрес. Это также позволило бы хакеру вообще предотвратить отправку определенных электронных писем цели.
В своей статье Педерсен отмечает, что не так уж сложно найти онлайн-списки адресов электронной почты, прикрепленных к сервису Cloudflare. Используя один из этих списков, злоумышленник мог довольно легко нацелиться на любого, кто использует службу переадресации.
G/O Media может получить комиссию
40% Off
Amazon Fire 65″ 4K Smart TV
Looks good
Aside from being 65″ in size, this TV offers UHD 4K visuals which are a constant feast for the eyes, features HDR to make sure you can appreciate the full range of colors and contrasts, and it also allows you to use it as a hub for all of your streaming services.
After discovering the exploit, Pedersen managed to reproduce it a number of times using multiple personal domains and decided to report the issue to Cloudflare’s награда за ошибку программа. Программа в конечном итоге присудила ему в общей сложности 6000 долларов за его усилия. Педерсен также говорит, что его блог был опубликован с разрешения Cloudflare.
В электронном письме Gizmodo представитель компании подтвердил, что ошибка была исправлена сразу после обнаружения: «Как сказано в блоге исследователя, эта уязвимость была обнаружена в рамках нашей программы вознаграждения за обнаружение ошибок. Затем мы решили проблему и убедились, что уязвимость не использовалась».
Хорошо, что это не так, потому что если хакер было завладев этим эксплойтом, они могли вызвать настоящий хаос во входящих сообщениях. В своем отчете Педерсон отмечает, что киберпреступник мог использовать эту ошибку для сброса паролей, что угрожало бы другим учетным записям, связанным с использованным адресом электронной почты:
«Это не только огромная проблема с конфиденциальностью, но и из-за того, что ссылки для сброса пароля часто отправляются на адрес электронной почты пользователя, злоумышленник также потенциально может получить контроль над любыми учетными записями, связанными с этим адресом электронной почты. Это хороший пример того, почему вы должны использовать двухфакторную аутентификацию», — написал он.
Правда! Используйте двухфакторную аутентификацию! Это просто доказывает: нам нужно как можно больше ботаников, смотрящих в Интернет, потому что вы никогда не знаете, когда что-то, что звучит великолепно, на самом деле грозит гигантской катастрофой безопасности.