Foto: AP / Butch Dill
Die Einführung des Yelp-wie beispielsweise die Telefon-app zur Unterstützung von Donald Trump Unterstützer finden Unternehmen freundlich MAGA-Hut tragen chuds geht ungefähr so gut wie man sich das vorstellt.
Nach Sicherheitslücken in der app öffentlich gemacht wurden Montag Nacht, die Entwickler hinter “63red Sicher” gespiegelt seine Scheiße online und drohte, Sie zu sic das FBI auf den Forscher, der geoutet hatte seine schlampige source-code.
63red ausgerollt etwa vor einer Woche, als die Daily Beast berichtete zunächst, und ist ausgerichtet auf die Aktivierung durch die Benutzer bewerten restaurants, zum Beispiel, basierend auf, ob Sie “dazu dienen, Personen von jeder politischen überzeugung” und “allow legal verdeckt führen,” unter anderen Kriterien, unabhängig von der Qualität der Speisen oder die Sauberkeit Ihrer Bäder.
Eine französische Forscherin, die geht von der Herr der Roboter-Themen-Griff Elliot Alderson getwittert, Sie hätten überprüft das Android-build der app und entdeckt mehrere dringende Probleme—das erste ist, dass die Anmeldeinformationen der app-designer, Scott Wallace, erschien hart-codiert in der Anwendung selbst.
Alderson auch dort gefunden wurde, ist keine Authentifizierung erforderlich, um Zugang 63red der back-End-API, was bedeutet, im Grunde könnte jemand laden Sie die angeblich private Informationen der Nutzer, einschließlich Ihrer Benutzer-IDs, email-Adressen, Profil, Bilder und vieles mehr. Mehr als 4.400 hatten die Nutzer erstellt ein Profil auf der app, so weit, sagten Sie.
Alderson auch darauf hingewiesen, dass angesichts des ungesicherten API, würde es wahrscheinlich einfach herunterladen, um die gesamte Benutzer-Datenbank en Masse.
“Verwenden Sie nicht diese app, Ihre persönliche Sicherheit in Gefahr ist,” Alderson abgeschlossen. 63red war nicht zufrieden.
Das Unternehmen schlug zurück und am Dienstag mit dem, was beginnt, wie sehr Facebook-esque Antwort, versprach, dass es dauert seine Sicherheit “sehr ernst”, dass die Sicherheit ist die “primäre Sorge”, und dass es weiterhin an der Verbesserung seines “systems in jeder möglichen Weise” zu garantieren, die Sicherheit seiner Nutzer. Und wenn es nur hatte es gestoppt.
“Als wir gesehen haben, in den Vereinigten Staaten, die konservativen haben insbesondere kommen unter Beschuss für Ihre politischen überzeugungen — verbal, physisch und elektronisch. Dies ist nicht akzeptabel in einer freien Gesellschaft, und wir nehmen jede Aktion, um es zu stoppen, und unterstützen unsere Benutzer in diesem als auch”, die Firma sagte, hinzufügen: “Wir sehen diese person ist illegal und fehlgeschlagene Zugriffsversuche auf unsere Datenbank-Server als ein politisch motivierter Angriff, und meldet es dem FBI später heute.” (Hervorhebung von uns)
Es ging auf zu sagen, dass der “Täter” sollte “der Gerechtigkeit zugeführt” und dass es geplant, um seine server-logs zu den Behörden “als Beweise für ein Verbrechen.”
Um klar zu sein, keine offensichtliche straftat begangen wurde, hier. Es wurde nichts “gehackt.” Basierend auf Alderson ‘s Beschreibung und 63red’ s eigene Aussage, scheint es, dass die Unternehmen schlicht nicht secure seinen Nutzern Informationen und der admin hat seine eigenen Anmeldeinformationen für die öffentlichkeit sichtbar.
63red die Reaktion selbst ist eine master-class in wie Sie nicht in Verlegenheit bringen sich selbst und weiteren Schaden Ihrer eigenen Glaubwürdigkeit-in Reaktion auf einen Sicherheitsvorfall. Eine Erklärung danken Alderson für das aufzeigen der jetzt-repariert Fehler und ein Versprechen, nicht zu wiederholen, das foul geht nach vorn gereicht hätte.
“Ich kann verstehen, 63red ist wütend, aber ich bin hier, um Ihnen zu helfen, nicht das Gegenteil,” Alderson sagte Gizmodo.
Natürlich ist es auch möglich 63red kennt sein Publikum sehr gut, und die Fütterung der Benutzer eine Zeile über diese alle als “politisch motiviert” Verschwörung zu diskreditieren, die app und deren Gründer—durchgeführt von der französischen, nicht weniger—nur das Wachstum zu fördern.
C ‘ est la vie.
[Register]
Teilen Sie Diese Geschichte