Webmail-yritys maksaa palkinnon Toimitusjohtajan katkera

Turvallinen verkkoviestintäyritys, joka haastoi hakkereita murtautumaan yrityksen verkkojärjestelmään, maksaa US $ 10 000 palkinnon vain muutaman päivän kuluttua kilpailun käynnistämisestä.

Hyökkääjät hakkeroida StrongWebmailin toimitusjohtaja Darren Berkovitzin verkkotunnustiliä käyttäen tunnettua cross-site scripting (XSS) hyökkäystä, yhtiö vahvisti maanantaina. "He tekivät sen käyttämällä XSS-skriptiä, joka hyödynsi haavoittuvuutta backend-webmail-ohjelmassa", StrongWebmail totesi lausunnossaan.

StrongWebmail käynnisti kilpailun toukokuun lopulla keinona edistää äänipohjaista tunnistusteknologiaa jonka emoyhtiö Telesign myy. Hakkerit saivat Berkovitzin sähköpostiosoitteen ja salasanan, ja haastatteltiin murtautumaan tiliin. Yritys on sitä mieltä, että tämä osoittautuu vaikeaksi, koska StrongWebmail vaatii erityisen salasanan, joka on puhelimitse käyttäjälle ennen sähköpostin pääsyä.

[Lue lisää: Haittaohjelmien poistaminen Windows-tietokoneesta]

Secure Science Chief Scientist Lance James ja hänen hakkereitänsä Aviv Raff ja Mike Bailey löysivät kuitenkin takaoven yhteiseen virheeseen ja väittivät, että he voittivat kilpailun viime torstaina. StrongWebmailin lausunto vahvisti, että ne olivat todellakin hakkeroineet Berkovitzin sähköpostitiliin.

Cross-site scriptingissa hyökkääjä käyttää hyväkseen vikaa Web-palvelimessa, jotta hän voi ajaa vahingollisen Web-käsikirjoituksen uhrin selaimessa.

Hakkerit löysivät Web-virheen minuutin sisällä, James sanoi ja vietti sitten noin kuusi tuntia täydentääkseen hyökkäystään. Ei paljon työtä 10 000 dollarin voitosta.

StrongWebmail sanoi, että kilpailu oli nopea ja se käynnistää uuden kilpailun, kun tämä virhe korjattiin. "Emme lykätä, ennen kuin olemme luoneet turvallisimmat sähköpostit maailmassa", sanoi yritys.

Hakkereiden käyttämä vika oli todella Rackspace Web mail -ohjelmistossa, jota käytettiin StrongWebmailin Telesign-todennusjärjestelmä, jonka StrongWebmail luotiin edistääkseen, Berkovitz sanoi sähköpostikyselyssä.

Seuraavan kilpailun palkintomäärä ja säännöt on vielä määritettävä, hän lisäsi. "Aiomme yrittää tehdä seuraava kilpailu oikeastaan ​​siitä, että TeleSignin suojaa osaa loukataan", hän sanoi. "Sähköpostimme, jonka lisensoimme, on tietenkin suuresta ja luotettavasta palveluntarjoajasta, mutta vain niin paljon voimme tehdä sen varmistamiseksi, ettei heillä ole reikiä loppuunsa."

Jamesille lähetettyyn sähköpostiviestiin ja IDG-uutispalvelu katsottiin, että yhtiö kehui häntä hakkerointitehtävistä. "Sinä ja tiimisi ovat varsin vaikuttavia - mitkä ovat konsulttimaksut?" sähköpostiviestit.