Etikus hacker járt a Starbucks adatbázisában

​A Starbucks rendszerén egy kritikus veszélyességű biztonsági rés tátongott, ami könyvelési és pénzügyi adatokhoz való jogosulatlan hozzáférést tett lehetővé.
 

A Starbucks is felismerte már, hogy az etikus hackerek a jó oldalt képviselik, ezért a HackerOne platformon keresztül díjazza a sebezhetőségek feltárásával foglalkozó szakembereket. A cég által felkínált legnagyobb jutalom jelenleg 4.000 dollár, ami a legveszélyesebb sebezhetőségek jelentése után jár. A vállalat eddig összesen több mint 400 ezer dollárt fizetett a fehérkalapos hackereknek. 

A legnagyobb összegű, azaz 4.000 dolláros jutalomban részesült Eugene Lim biztonsági kutató is, aki egy nagyon veszélyes sérülékenységre derített fényt. A szakember április 8-án jelezte a felfedezését a Starbucks-nak, amely két napon belül befoltozta a biztonsági rést. A sérülékenység híre azonban csak a napokban került nyilvánosságra. 

Eugene Lim először XXE (XML External Entity) alapú támadásokkal próbálkozott, és rájött arra, hogy a Starbucks a Microsoft Dynamics AX vállalatirányítási rendszert használja. Ezekkel a támadásokkal nem ment sokra, de nem adta fel a küzdelmet. Néhány hét múlva ismét nekiveselkedett egy támadásnak, amit kifejezetten SQL injectionre hegyezett ki. Nem is kellett sokáig keresgélnie, ugyanis viszonylag hamar ráakadt egy biztonsági résre, amin keresztül tetszőleges SQL utasításokat tudott lefuttatni. Mivel a Dynamics AX adatbázisának leírása megtalálható az interneten, ezért a fontosabb adattáblák feltérképezése nem tartott sokáig. Ekkor derült ki, hogy Lim hozzáfért megközelítőleg egymillió pénzügyi, számlázási, könyvelési, bérszámfejtési adatrekordhoz. Mikor rájött arra, hogy az éles rendszerben kotorászik, akkor rögtön leállt a támadással, és az előírásoknak megfelelően jelezte a felfedezését. A Starbucks pedig gyorsan megkezdte a biztonsági rés befoltozását.
 
  1. 4

    A FreeBSD jelentős biztonsági frissítést kapott.

  2. 4

    Jelentős biztonsági frissítést kapott a wolfSSL.

  3. 4

    Két sérülékenység található a WinRAR szoftverben.

  4. 3

    Nyolc biztonsági hiba veszélyezteti a ClamAV-ot.

  5. 4

    A Google Chrome legújabb verziója 382 különféle sebezhetőséget szüntet meg.

  6. 4

    Soron kívüli biztonsági frissítés érkezett az Adobe ColdFusionhöz.

  7. 4

    A Mozilla egy biztonsági rést foltozott be a Firefox webböngészőn.

  8. 3

    A Podman egy közepes veszélyességű hiba miatt tehet kiszolgáltatottá szenzitív adatokat.

  9. 4

    A ModSecurity kapcsán két sérülékenységre derült fény.

  10. 3

    Az Asterisk fejlesztői húsz biztonsági rést foltoztak be.

Partnerhírek
Nagy kockázat a cégeknek, ha a dolgozók AI-t használnak

Egyre komolyabb, ám gyakran még láthatatlan kockázatot jelent a vállalatok számára az úgynevezett „shadow AI”, vagyis az alkalmazottak mesterséges intelligencia használata cégen belül.

Chatbotok és szelfik: így formálja a digitális világ a gyerekek biztonságát

Gyermeknap közeledtével érdemes arra is gondolni, milyen digitális környezetben nőnek fel ma a gyerekek és ebben milyen szerepet játszanak az egyre népszerűbb AI chatbotok.

hirdetés
Közösség