Безопасность в современном мире – есть над чем поработать!
На днях в финской газете Iltalehti опубликовали статью, о том что 10-ти летний мальчик из Хельсинки обнаружил уязвимость в социальной сети Instagram. И в рамках программы «BUG BOUNTY PROGRAM», в которой с 2014 года состоит сервис, получил вознаграждение за выявленный баг в размере 10 тысяч долларов.
С помощью найденной Яни, так зовут юного хакера, мог удалить комментарий любого пользователя Instagram. При этом стоит отметить, в политике конфиденциальности соцсети установлено, что возраст создателя аккаунта не должен быть менее 13 лет. Однако, мальчик самостоятельно обнаружил вредоносный баг и сообщил об этом в Facebook (Instagram является его частью), продемонстрировав свою находку на тестовом аккаунте. В скором времени уязвимость была устранена, а Яни получил вознаграждение.
Подобная выплата не единственная, «BUG BOUNTY PROGRAM» существует с 2011 года, и в ней также участвуют Google и Microsoft. И как сообщает источник Venturebeat за время ее работы выплачено 4,3 миллиона 800 хакерам. Также Twitter в 2014 году создал проект под названием HackerOne, а в России Яндекс и Mail не отстают «в гонке за багами».
Уязвимость в Instagram Яни обнаружил в феврале, в этом же месяце эксперт Google Project Zero Тевис Орманди нашел критическую ошибку в напольных весах Fitbit «Aria» и написал об этом на своей странице в Twitter.
Итак, умное устройство, определив вес пользователя, рассчитав индекс массы тела и процент содержания жира в организме, используя интернет соединение, передает эти данные на сервер Fitbit для их сохранения в профиле держателя аккаунта. В Theregister сообщают, что используя статические идентификаторы для DNS-запросов, можно обмануть устройство и синхронизировать его с другим сервером, и такая возможность может являться отправной точкой для входа в систему и получению более критичных данных, чем вес пользователя. Однако Fitbit пока не зарегистрировали ни одного инцидента, связанного с данной уязвимостью, и очень оперативно подготовили обновления.
Плюс ко всему напомню, что осенью прошлого года компания Pen Test Partners взломала электрические чайник iKettler и кофеварку Smarter Coffee. Производитель умных девайсов один и тот же – Smarter. В итоге, как сообщил Кэн Манро (директор Pen Test Partners) Theregister, используя обнаруженные уязвимости, они могли управлять устройствами, например, в любое время заварить кофе, вскипятить воду в чайнике или отключить в нем противопожарный датчик, Подобные действия как минимум приведут к увеличению счета за электроэнергию, а в худшем случае и к пожару. Также сотрудникам Pen Test Partners удалось сбить настройки кофеварки и даже спровоцировали ее обновить прошивку, а с помощью социальной инженерии, антенны и сетевого оборудования узнать у iKettler пароль от Wi-Fi.
Таким образом, опять получаем знакомую картину – технологии движутся стремительно вперед, а вот безопасность «плетется» где-то на заднем плане. Поэтому хотелось бы, чтобы разработчики программного обеспечения больше уделяли внимания защищенности своих продуктов.