Perusahaan Web Mail untuk Membayar Hadiah Setelah CEO Meretas

Sebuah perusahaan surat Web aman yang menantang para peretas untuk masuk ke sistem email Web perusahaan membayar hadiah US $ 10.000, hanya beberapa hari setelah meluncurkan kontes.

Satu tim peretas yang dikelola untuk meretas ke akun email Web CEO StrongWebmail Darren Berkovitz, menggunakan apa yang dikenal sebagai serangan cross-site scripting (XSS), perusahaan itu mengkonfirmasi Senin. "Mereka melakukannya menggunakan skrip XSS yang mengambil keuntungan dari kerentanan dalam program webmail backend," StrongWebmail mengatakan dalam sebuah pernyataan.

StrongWebmail meluncurkan kontes pada akhir Mei sebagai cara mempromosikan teknologi identifikasi berbasis suara. dijual oleh perusahaan induknya, Telesign. Peretas diberi alamat email dan kata sandi Berkovitz dan ditantang untuk membobol akun tersebut. Perusahaan berpikir ini akan menjadi sulit karena StrongWebmail memerlukan kata sandi khusus yang dihubungi kepada pengguna sebelum email dapat diakses.

[Bacaan lebih lanjut: Cara menghapus malware dari PC Windows Anda]

Ilmu Pengetahuan Kepala Ilmuwan yang Aman Lance James dan rekan-rekan peretasnya, Aviv Raff dan Mike Bailey menemukan pintu belakang dalam cacat Web umum, dan mengklaim bahwa mereka memenangkan kontes Kamis lalu. Pernyataan StrongWebmail menegaskan bahwa mereka memang telah meretas ke akun email Berkovitz.

Dalam scripting lintas situs, penyerang mengambil keuntungan dari bug di server Web untuk menjalankan skrip Web berbahaya di browser korban, pada dasarnya mengambil kendali browser.

Peretas menemukan cacat Web dalam satu menit, kata James, dan kemudian menghabiskan waktu sekitar enam jam untuk menyempurnakan serangan mereka. Tidak banyak pekerjaan untuk pembayaran $ 10.000.

StrongWebmail mengatakan itu "tidak terhalang" oleh kesimpulan cepat kontes dan akan meluncurkan kompetisi baru setelah bug ini diperbaiki. "Kami tidak akan beristirahat sampai kami telah membuat email yang paling aman di dunia," kata perusahaan itu.

Bug yang digunakan oleh peretas sebenarnya ada dalam perangkat lunak surat Web Rackspace yang digunakan untuk menyalakan StrongWebmail, bukan di Sistem otentikasi Telesign yang dibuat oleh StrongWebmail untuk dipromosikan, kata Berkovitz dalam wawancara e-mail.

Jumlah hadiah dan aturan kontes berikutnya belum ditentukan, tambahnya. "Kami akan mencoba dan membuat kontes berikutnya benar-benar tentang melanggar bagian yang melindungi TeleSign," katanya. "E-mail yang kami berlisensi jelas berasal dari penyedia besar dan terpercaya, tetapi hanya ada begitu banyak yang bisa kami lakukan untuk memastikan bahwa mereka tidak memiliki lubang di ujungnya."

Dalam e-mail yang dikirim ke James dan dilihat oleh IDG News Service, perusahaan memujinya dengan keahlian hackingnya. "Anda dan tim Anda cukup mengesankan - berapa tarif konsultasi Anda?" e-mail menyatakan.