Saugaus elektroninio pašto internete paslaugas teikianti bendrovė, paskelbusi įsilaužėlių varžybas, su pagrindiniu prizu – 10 tūkstančių dolerių – atsisveikino jau pirmą dieną.
Įsilaužėliai saugumo spragą bendrovės „StrongWebmail“ programinėje įrangoje aptiko jau po vienos minutės nuo konkurso paskelbimo, o dar 6 valandų jiems prireikė įsilaužimo priemonėms „nušlifuoti“, praneša „TechWorld.com“.
„StrongWebmail“ įsilaužėlių varžybas su 10 tūkstančių dolerių prizu paskelbė norėdama pareklamuoti jos antrinės bendrovės „Telesign“ pardavinėjamą neva saugaus el. pašto vartotojų autentifikavimo balsu technologiją. Dalyvauti konkurse užsiregistravusiems įsilaužėliams buvo praneštas „StrongWebmail“ vykdomojo direktoriaus Darreno Berkovitzo elektroninio pašto adresas ir prieigos slaptažodis. Bendrovės atstovai manė, kad įsilaužėliams patekti jo pašto dėžutę bus pernelyg sunku, nes prie „StrongWebmail“ paskyros galima prisijungti tik po to, kai vartotojui telefonu pranešamas papildomas prieigos kodas.
Bendrovė savo WWW pašto paslaugų patikimumą argumentuoja tuo, kad, panaudoję kompiuteryje slapčiomis įdiegtas klaviatūros paspaudimus fiksuojančias programas, įsilaužėliai be vargo gali skaityti įprastų tokių paslaugų teikėjų klientų laiškus. Tuo tarpu „StrongWebmail“ sukurta technologija naudoja papildomą autentifikavimo procedūrą: vartotojo nurodytu telefono numeriu atsiunčiamas papildomas 3 skaičių slaptažodis.
Tačiau iššūkį priėmusiems „įsilaužėliams“, šiuo atveju kompiuterių saugumo specialistams Lance‘ui James‘ui, Avivui Raffui ir Mike‘ui Bailey‘iui, pasinaudojus jų aptikta saugumo spraga, pavyko surengti vadinamąją XSS (cross-site scripting) ataką ir „atsirakinti“ „StrongWebmail“ vadovo pašto paskyrą.
Pasak „TechWorld.com“, nepaisant pralaimėjimo, bendrovė pranešė netrukus dar kartą paskelbsianti tokį pat konkursą – iškart po to, kai „užlopys“ aptiktą saugumo spragą.