Web Mail Company a Pay Prize után A StrongWebmail megerősítette, hogy a vezérigazgató levelét egy verseny részeként feltörték. 10 000 dolláros nyereményt kell fizetnie.

Egy csapat hackerek kezeltek hogy becsapja a StrongWebmail vezérigazgatóját, Darren Berkovitz webes levelezési fiókját, az úgynevezett cross-site scripting (XSS) támadást használva. "Olyan XSS szkriptet használtak, amely kihasználta a háttért használó webmail program sebezhetőségét" - nyilatkozta StrongWebmail.

A StrongWebmail május végén indította el a versenyt a hangalapú azonosítási technológia előmozdításának egyik módjaként amit az anyavállalata, a Telesign értékesített. A hackerek megkapták a Berkovitz e-mail címét és jelszavát, és megkérdőjelezték, hogy belépjenek a számlára. A vállalat úgy vélte, hogy ez nehéznek bizonyul, mivel a StrongWebmail speciális jelszót igényel, amelyet az e-mail elérése előtt telefonál a felhasználónak.

[További olvasás: Hogyan távolítsuk el a rosszindulatú programokat a Windows számítógépről]

Secure Science Chief Scientist Lance James és társai, Aviv Raff és Mike Bailey egy hátsó ajtót találtak egy közös internetes hibában, és azt állították, hogy múlt csütörtökön nyerték meg a versenyt. A StrongWebmail nyilatkozata megerősítette, hogy valóban betört a Berkovitz e-mail fiókjába.

A webhelyen keresztüli szkriptelés során a támadó kihasznál egy hibát a webkiszolgálón, hogy rosszindulatú webes szkriptet futtasson az áldozat böngészőjében, lényegében ellenőrzése alatt a böngésző.

A hackerek egy percen belül találták meg a webhibát, mondta James, majd hat órával töltöttük a támadást. Nem sok munka egy $ 10,000-os kifizetésért.

A StrongWebmail azt mondta, hogy a verseny gyors megkötése nem "visszatartja", és egy új versenyt indít, ha ez a hiba megszűnt. "Nem fogunk nyugodni addig, amíg nem hoztuk létre a legbiztonságosabb e-maileket a világon" - mondta a vállalat.

A hackerek által használt hiba valójában a StrongWebmail táplálására használt Rackspace webes levelezőprogramban volt, nem pedig a A Telesign hitelesítési rendszert, amelyet a StrongWebmail hoz létre a promócióhoz, Berkovitz egy e-mail interjúban elmondta.

A következő verseny nyereményét és szabályait még meg kell határozni, tette hozzá. "Megpróbáljuk majd megpróbálni a következő versenyen valóban megsérteni azt a részét, amelyet a TeleSign megvéd" - mondta. "Az általunk engedélyezett e-mail nyilvánvalóan nagy és megbízható szolgáltató, de csak annyit tudunk megtenni, hogy ne legyen lyukuk a végükön."

Egy e-mailben, amelyet Jamesnek küldtek és az IDG News Service meglátogatta a cég, aki gratulált neki a hacker-készségeihez. "Ön és csapata meglehetősen lenyűgözőek - mi a tanácsadási aránya?" az e-mail állapotok.