सीईओ हैकड के बाद पुरस्कार देने के लिए वेब मेल कंपनी

एक सुरक्षित वेब मेल कंपनी जिसने हैकर्स को कंपनी के वेब मेल सिस्टम में तोड़ने के लिए चुनौती दी है, प्रतियोगिता शुरू करने के कुछ दिन बाद यूएस $ 10,000 का पुरस्कार दे रहा है।

हैकर्स की एक टीम प्रबंधित स्ट्रॉन्ग वेबमेल सीईओ डैरेन बर्कोवित्ज़ के वेब मेल खाते में हैक करने के लिए, जिसे क्रॉस-साइट स्क्रिप्टिंग (एक्सएसएस) हमले के रूप में जाना जाता है, कंपनी ने सोमवार को पुष्टि की। स्ट्रॉन्गवेबेल ने एक बयान में कहा, "उन्होंने एक एक्सएसएस स्क्रिप्ट का उपयोग किया जो बैकएंड वेबमेल प्रोग्राम में भेद्यता का लाभ उठाता है।" 99

स्ट्रॉन्ग वेबमेल ने मई के अंत में वॉयस-आधारित पहचान तकनीक को बढ़ावा देने के तरीके के रूप में प्रतियोगिता शुरू की अपनी मूल कंपनी, टेलीसिन द्वारा बेचा गया। हैकर्स को बर्कोवित्ज़ का ई-मेल पता और पासवर्ड दिया गया था और खाते में तोड़ने के लिए चुनौती दी गई थी। कंपनी ने सोचा कि यह मुश्किल साबित होगा क्योंकि स्ट्रॉन्ग वेबमेल को एक विशेष पासवर्ड की आवश्यकता होती है जो ई-मेल तक पहुंचने से पहले उपयोगकर्ता को टेलीफ़ोन किया जाता है।

[आगे पढ़ें: अपने विंडोज पीसी से मैलवेयर कैसे निकालें]

सुरक्षित विज्ञान प्रमुख वैज्ञानिक लांस जेम्स और उनके साथी हैकर्स अवीव रैफ ​​और माइक बेली ने एक आम वेब दोष में बैक दरवाजा पाया, हालांकि, उन्होंने दावा किया कि वे पिछले गुरुवार को प्रतियोगिता जीते थे। स्ट्रॉन्गवेबेल के बयान ने पुष्टि की कि उन्होंने वास्तव में बर्कोवित्ज़ के ई-मेल खाते में हैक किया था।

क्रॉस-साइट स्क्रिप्टिंग में, हमलावर वेब सर्वर पर किसी बग का लाभ उठाता है ताकि पीड़ित के ब्राउज़र में दुर्भावनापूर्ण वेब स्क्रिप्ट चलाने के लिए, अनिवार्य रूप से नियंत्रण लेना ब्राउजर का।

हैकर्स ने एक मिनट के भीतर वेब दोष पाया, जेम्स ने कहा, और फिर अपने हमले को पूरा करने में लगभग छह घंटे बिताए। $ 10,000 पेआउट के लिए बहुत सारे काम नहीं हैं।

स्ट्रॉन्गवेबेल ने कहा कि यह प्रतियोगिता के त्वरित निष्कर्ष से "खराब नहीं हुआ" था और यह बग तय होने के बाद एक नई प्रतियोगिता शुरू कर देगा। कंपनी ने कहा, "हम तब तक आराम नहीं करेंगे जब तक हमने दुनिया में सबसे सुरक्षित ई-मेल नहीं बनाया है।" 99

हैकर द्वारा उपयोग की जाने वाली बग वास्तव में रैकस्पेस वेब मेल सॉफ़्टवेयर में थी जो स्ट्रॉन्ग वेबमेल को पावर करने के लिए उपयोग की जाती थी, न कि टेलिविग प्रमाणीकरण प्रणाली कि स्ट्रॉन्गवेबेल को बढ़ावा देने के लिए बनाया गया था, बर्कोवित्ज़ ने एक ई-मेल साक्षात्कार में कहा।

अगली प्रतियोगिता के पुरस्कार राशि और नियमों को अभी तक निर्धारित नहीं किया गया है। उन्होंने कहा, "हम टेलीसिन की रक्षा के हिस्से को तोड़ने के बारे में वास्तव में अगली प्रतियोगिता करने की कोशिश कर रहे हैं।" "हमारे द्वारा लाइसेंस प्राप्त ई-मेल स्पष्ट रूप से एक बड़े और भरोसेमंद प्रदाता से है, लेकिन यह सुनिश्चित करने के लिए हम इतना कर सकते हैं कि उनके पास छोर नहीं है।"

जेम्स को भेजे गए एक ई-मेल में और आईडीजी समाचार सेवा द्वारा देखा गया, कंपनी ने उसे अपने हैकिंग कौशल पर बधाई दी। "आप और आपकी टीम काफी प्रभावशाली हैं - आपकी परामर्श दरें क्या हैं?" ई-मेल राज्य।