O StrongWebmail tinha o lema “invada-nos se puder”
Geek
Por Stella Dauer
Um grupo de “hackers do bem” está reivindicando um prêmio de US$10 mil oferecido pela empresa StrongWebmail por invadir a conta de e-mail de seu presidente-executivo, num desafio chamado “invada-nos se puder”.
A StrongWebMail usa um sistema de verificação que, a princípio, impede acesso aos emails de uma conta mesmo que o ladrão possua o login e a senha do usuário. Para liberar a conta, é necessário que o usuário tenha acesso a um telefone associado a ela.
Para provar a robustez desse arranjo, Darren Berkovitz, CEO da StrongWebmail, divulgou o login e a senha de sua conta e desafiou qualquer um a conferir sua agenda para o dia 26 de junho. Quem conseguisse levaria o prêmio.
Lance James, Aviv Raff e Mike Bailey, pesquisadores de segurança, reclamaram o prêmio na última quinta feira, 4 de junho, enviando as informações da agenda ao site de notícias IDG, noticiou o site Slashdot.
A StrongWebmail confirmou as informações, mas se recusa a pagar o prêmio enquanto não tiver certeza de que as regras da competição foram respeitadas. Uma das regras do desafio, por exemplo, proíbe a prática da “engenharia social”, que inclui subornar alguém de dentro da empresa para conseguir o acesso à conta.
Segundo o site The Register, os pesquisadores alegam que jogaram limpo, utilizando uma vulnerabilidade do tipo cross-site scripting (XSS) para acessar a conta, antes de fazer uma conta própria no serviço.
“Se alguém realmente tiver feito isso, abaixaremos nossas cabeças”, disse Berkovitz ao site Network World.
0 comentários:
Postar um comentário