Web-Mail-Firma zahlt Preis nach CEO gehackt

Eine sichere Web-Mail-Firma, die Hacker dazu herausfordert, in das Web-Mail-System des Unternehmens einzubrechen, zahlt einen Preis von 10.000 US-Dollar, nur wenige Tage nach Beginn des Wettbewerbs.

Ein Team von Hackern hat es geschafft sich in den Webmail-Account von StrongWebmail-CEO Darren Berkovitz einklinken und dabei einen so genannten Cross-Site-Scripting-Angriff (XSS) nutzen, bestätigte das Unternehmen am Montag. "Sie verwendeten ein XSS-Skript, das eine Schwachstelle im Back-End-Webmail-Programm ausnutzte", heißt es in einem Statement von StrongWebmail.

StrongWebmail startete den Wettbewerb Ende Mai, um die sprachbasierte Identifikationstechnologie zu fördern von seiner Muttergesellschaft Telesign verkauft. Die Hacker erhielten die E-Mail-Adresse und das Passwort von Berkovitz und wurden aufgefordert, in das Konto einzutreten. Das Unternehmen hielt dies für schwierig, da für StrongWebmail ein spezielles Passwort erforderlich ist, das vor dem Zugriff auf die E-Mail an den Benutzer gesendet wird.

[Weitere Informationen: So entfernen Sie Malware von Ihrem Windows-PC]

Secure Science Chief Scientist Lance James und seine anderen Hacker Aviv Raff und Mike Bailey fanden jedoch eine Hintertür in einem gemeinsamen Webfehler und behaupteten, dass sie den Wettbewerb am vergangenen Donnerstag gewonnen hätten. Die Aussage von StrongWebmail bestätigte, dass sie tatsächlich in das E-Mail-Konto von Berkovitz eingegriffen haben.

Beim Cross-Site-Scripting nutzt der Angreifer einen Fehler auf dem Webserver, um böswilliges Web-Skript im Browser des Opfers auszuführen des Browsers.

Die Hacker fanden den Webfehler innerhalb einer Minute, James sagte, und verbrachte dann etwa sechs Stunden damit, ihren Angriff zu perfektionieren. Nicht viel Arbeit für eine Auszahlung von 10.000 $.

StrongWebmail sagte, dass es sich durch den schnellen Abschluss des Wettbewerbs nicht abschrecken lasse und würde einen neuen Wettbewerb starten, sobald dieser Bug behoben sei. "Wir werden nicht ruhen, bis wir die sicherste E-Mail der Welt erstellt haben", sagte das Unternehmen.

Der von den Hackern verwendete Fehler war tatsächlich in der Rackspace Web-Mail-Software, die für StrongWebmail verwendet wurde Telesign Authentifizierungssystem, dass StrongWebmail erstellt wurde, um zu fördern, sagte Berkovitz in einem E-Mail-Interview.

Der Preisbetrag und die Regeln des nächsten Wettbewerbs müssen noch festgelegt werden, fügte er hinzu. "Wir werden versuchen, den nächsten Wettbewerb wirklich dazu zu bringen, den Teil zu durchbrechen, den TeleSign schützt", sagte er. "Die von uns lizenzierte E-Mail stammt offensichtlich von einem großen und zuverlässigen Anbieter, aber wir können nur so viel tun, dass sie keine Lücken am Ende haben."

In einer E-Mail an James und von der IDG News Service gesehen, lobte das Unternehmen ihn auf seine Hacker-Fähigkeiten. "Sie und Ihr Team sind sehr beeindruckend - wie hoch sind Ihre Beratungsraten?" Die E-Mail-Adresse.