Мальтийским студентам грозит срок за нахождение уязвимости

0

2

Четыре студента нашли уязвимость в приложении FreeHour, популярном в среде мальтийского студенчества, позволяющую просматривать личную инфу пользователей. Как добропорядочные белошляпники, они сообщили о уязвимости CEO компании-разработчика. Тот, в свою очередь, по его словам, следуя предписанию соотв. госоргана по борьбе с киберпреступностью, передал эту инфу «куда надо».

В итоге к скубентам вломилась полиция, изъяла все компы, а самих арестовала, на основании некоей статьи о «доступе к приложению без надлежащего разрешения уполномоченного лица». И теперь им грозит штраф в $23К и срок 4 года.

https://timesofmalta.com/articles/view/we-wanted-help-students-arrested-exposing-freehour-security-flaw.1024757

А вы как считаете, «совсем оборзела кровавайя гэбня» или «так им и надо, паразитам, нет, чтобы учились, как все, ищут приключений на свою Ж»?

Ссылка

←	Изменение политики товарных знаков Rust Foundation

Сам себе экосистема.

→

← 1 2 →

Ответ на: комментарий от xwicked 14.04.23 17:29:27 MSK

Они выложили письмо, которое отправляли.

https://luke.collins.mt/fh-email/

Для Ъ:

Subject: Freehour app is not secure
From: Luke Bjorn Scerri <l******@um.edu.mt>
Date: 19/10/2022, 16:36
To: "hello@freehour.eu" <hello@freehour.eu>, "Zach Ciappara" <z******@freehour.eu>, z******@gmail.com
CC: Luke Collins <l******@um.edu.mt>, Michael Debono <m******@um.edu.mt>, Giorgio Grigolo <g******@um.edu.mt>
To whomever this may concern,

I am writing to you on behalf of the University of Malta Capture the Flag Team. We are a group of Science and ICT students interested in cyber-security and we do vulnerability research in our free time.
What are CTFs?

Recently we analysed the free hour app for any security weakness.
The app was found to be vulnerable to several exploits with severe consequences.

List of issues (most severe first)
(redacted)
(redacted)
(redacted)
(redacted)
(redacted)
(redacted)
Some technical examples
Changing content displayed by the app for all users:
(redacted)
Disclosure of personal information
(redacted)
Here's one user from the response as an example, notice the sensitive information (which belongs to one one of the members of our team):

(redacted)

Next steps

These vulnerabilities pose a serious threat as they may result in not only the leak of your users' data, but also a malicious actor violating the trust users have in your brand by launching phishing attacks through your platform. As is customary, you have three months to resolve these issues before we publicly disclose them. We would also be eligible for a bug bounty, as is industry practice.

Changing the subject, as previously stated, we are interested in cyber-security and will be hosting free workshops and a competition throughout the academic year to help inform students on how to secure themselves as both users and online professionals. We would be grateful if you could provide us with an audience of stem students.

Note: We have restored the app to its original state very shortly after we took the demonstration footage. Attached to this email is a short video and a picture just to show our ability to change content displayed by the app.

We look forward to your prompt reply.

Thank you and best regards,
Luke Bjorn Scerri, Michael Debono, Giorgio Grigolo, Luke Collins

Attachments
create_ad.png
demovid.mp4

mydibyje ★★★★
(25.05.23 01:50:19 MSK)
Последнее исправление: mydibyje 25.05.23 01:51:00 MSK (всего исправлений: 1)

Если для нахождения уязвимости они получили доступ к данным на сервере, то оно примерно везде так. Поэтому надо искать уязвимости в открытом софте, который ты сам себе поставил.

sergej ★★★★★
(25.05.23 03:07:13 MSK)

Ссылка

Ответ на: комментарий от Bers666 14.04.23 22:13:29 MSK

Legrand еще и приложения пишет?

troizet ★
(25.05.23 05:06:50 MSK)

Ссылка

Ответ на: комментарий от mydibyje 25.05.23 01:50:19 MSK

А для Ы? В басурманском не бельмес...

xwicked ★★☆
(25.05.23 09:31:50 MSK)

Ссылка

Вспомнилась история, как в Швеции родители учеников написали аналог школьного приложения-сервиса (оригинал люто тормозил и глючил), а на них за это полицию натравили.

alex1101 ☆
(25.05.23 09:33:03 MSK)