1、你需要知道的是：

2、據(jù)報道，SlickWraps中存在一個嚴重的漏洞，這可能使任何有知識的攻擊者能夠使用其網(wǎng)站訪問客戶數(shù)據(jù)等。

3、該公司還拒絕了安全研究人員修復(fù)漏洞的嘗試。

4、研究員Lynx0x00自己做的，用漏洞授予功能警告客戶漏洞。

5、安全很難。即使在像臉書和推特這樣的公司，所有在這里工作的聰明人和失敗的高風(fēng)險仍然不時有數(shù)據(jù)泄露。以銷售可愛的手機和筆記本電腦套裝而聞名的SlickWraps也會遇到自己的漏洞，這并不奇怪。

6、更令人擔(dān)憂的是，該公司采取了積極行動，無視安全研究人員的警告，并根據(jù)法律要求避免向客戶傳達違規(guī)行為。

7、Lynx0x00在一部充滿波折的驚艷作品中分享了Medium上所有的臟東西。

8、以下是一些重要的摘錄：

9、關(guān)于他如何訪問SlickWraps數(shù)據(jù)庫的信息：

10、這個【手機案例定制】頁面包含了一個不可原諒的漏洞：任何擁有合適工具包的人都可以將任何文件上傳到自己服務(wù)器上頂層目錄(即“網(wǎng)絡(luò)根目錄”)的任何位置。從那里，簡單。Htaccess文件已上傳，因此您可以找到以下路徑：

11、SlickWraps現(xiàn)有和前任員工的簡歷(包括自拍、電子郵件地址、家庭地址、電話號碼等。)

12、SlickWraps手機殼定制工具上傳的9GB個人客戶照片(包括客戶上傳色情內(nèi)容的備份)。

13、因為SlickWraps公開地忽略了任何形式的操作安全性，所以我可以輕松地實現(xiàn)遠程代碼執(zhí)行，并解鎖執(zhí)行Shell命令的能力。對于初學(xué)者來說，執(zhí)行shell命令的能力類似于獲得一把萬能鑰匙。它可以打開一切。

14、他可以訪問以下內(nèi)容：

15、我可以添加自己為他們的Zendesk平臺的所有者。現(xiàn)在，我可以在收件箱中接收綁定到多個SlickWraps帳戶的電子郵件。我只需要發(fā)送密碼重置和進一步解鎖：

16、完全訪問他公司的Slack團隊——，其中包含135，000條歷史消息。

17、其支付網(wǎng)關(guān)(PayPal和Braintree)的活期賬戶余額和交易日志。

18、我發(fā)現(xiàn)他們的管理員面板(即SlickWraps員工和經(jīng)理用來提取報告和管理SlickWraps網(wǎng)站內(nèi)容的界面)被毫無意義的防火墻漫不經(jīng)心地保護起來(請記住：我有“萬能鑰匙”)。我將自己添加為管理員用戶，并立即獲得了對其內(nèi)容管理系統(tǒng)的完全控制。

19、本質(zhì)上，任何訪問此漏洞的人都可以隨意使用SlickWraps用戶的數(shù)據(jù)。這是一個非常非常嚴重的漏洞。

20、看來你的當(dāng)事人不滿意。不會讓它變得更好。pic.twitter.com/UQNwImpMSN.

21、-lynx(@ lynx 000)2020年2月16日

22、并不是說SlickWraps沒有意識到這個漏洞。Lynx詳細介紹了幾種聯(lián)系他們的嘗試，從細微到最直接的嘗試。每次，他不僅被拒絕，最終還被SlickWraps的推特賬戶簽約了兩次。對公司不太好。據(jù)報道，盡管該公司試圖清理其暴露的區(qū)域，但仍然留下了漏洞。這有點像換了一個房子的門，卻留下了同樣的舊鎖?；撕艽罅?，但收效甚微。

23、Lynx對活動的進行方式感到困惑。Lynx寫道：

24、我仍然不明白為什么SlickWraps沒有簡單地與我溝通，以找出基本漏洞的原因。他們沒有遵守告訴客戶隱私的義務(wù)，這讓我越來越沮喪。為了了解這種數(shù)據(jù)泄露的嚴重性，請注意，如果內(nèi)部數(shù)據(jù)泄露沒有通知客戶，可能會導(dǎo)致高達2000萬歐元的行政罰款或公司全球年營業(yè)額的4%(以較高者為準(zhǔn))。

25、一個主要的安全漏洞不好，但很容易修復(fù)。然而，當(dāng)你的整個公司建立在成千上萬個微小但同樣致命的缺陷上，而你又增加了另一個重大缺陷時，我不確定這個問題能否解決。我不知道他們到目前為止是如何發(fā)展的。

26、-lynx(@ lynx 000)2020年2月18日

27、犯錯是很自然的。每個人都不時這樣做。真正的性格標(biāo)準(zhǔn)是你對被發(fā)現(xiàn)的反應(yīng)。SlickWraps通過了各種振動檢查，