Un chercheur en sécurité allègue l'assaut d'un vendeur de casino pour divulgation de vulnérabilité – Serveur d’impression
Les casinos, le FBI, les chercheurs en sécurité… et comment ne pas gérer la divulgation publique
Comme de nombreux hackers au chapeau blanc, Dylan Wheeler admet qu’il était un peu sale aux mains et que son chapeau était un peu noir. Dans son cas, il a finalement fui l’Australie des autorités locales et du FBI après avoir été accusé d’avoir volé plus de 100 millions de dollars. propriété intellectuelle, y compris les spécifications d’un système de jeux Xbox One utilisé pour former les soldats américains à piloter les hélicoptères Apache.
Quittant le pays via la République tchèque pour s’installer au Royaume-Uni, il s’est tourné vers la divulgation responsable des vulnérabilités (en aidant à identifier les problèmes de sécurité par le «piratage éthique» et, si on le leur demandait, en les corrigeant), et en effectuant des audits contractuels de sécurité via son société “Day After Exploit Ltd”. Les manigances adolescentes sont derrière lui, a-t-il déclaré à Computer Business Review.
“[The Xbox issue] a été repassé; J'étais mineur et ce n'est plus actif devant les tribunaux ».
La divulgation responsable n’a toutefois pas été au rendez-vous cette semaine, malgré tous ses efforts et sa patience.
Sommaire
Vulnérabilité aux atriens
Le chercheur en sécurité affirme avoir été agressé mardi par Jessie Gill, une dirigeante d'Atrient *, un fournisseur qui fabrique des kiosques de fidélité numériques pour les casinos, après avoir tenté de révéler une vulnérabilité.
Gill l'aurait saisi et aurait enlevé sa longe de conférence. (La police métropolitaine a confirmé à Computer Business Review qu'une plainte avait été déposée). Atrient nie toutes les allégations.
Wheeler dit qu'il avait de nouveau essayé d'expliquer la gravité de la vulnérabilité d'un atrient à ses dirigeants lors de la conférence sur le jeu ICE à Londres, lorsque l'incident présumé s'est produit.
Attends quoi? Rembobiner…
Wheeler et son compatriote White Hat ont découvert pour la première fois la grave vulnérabilité d'Atrient. @ me9187 sur censys.io, un moteur de recherche pour les serveurs non sécurisés.
Un robot cherchait un identifiant pour les serveurs Jenkins et découvrit que les kiosques Atrient – connectés aux réseaux de casino internes – communiquaient «à domicile» via du texte brut non crypté, avec un serveur API connecté extrêmement vulnérable à l’injection de code malveillant.
Parmi les clients d'Atrient potentiellement concernés, de grands noms comme le MGM.
MGM: «Merci les gars, voici quelques exemples»
Comme indiqué dans SecJuice: «Ces kiosques et le serveur back-end communiquent les informations personnelles de leurs utilisateurs et envoient des données telles que des analyses de licences de conducteur (utilisées pour l'inscription), des adresses personnelles et des coordonnées de contact, ainsi que des informations détaillées sur l'activité des utilisateurs. sur un accès public. "
"Lorsque les chercheurs ont découvert que le serveur de récompense non authentifié était directement connecté aux kiosques sur le casino, ils ont compris que l'API utilisé était largement ouvert et extrêmement vulnérable aux abus criminels."
Le FBI est entré…
Après avoir tenté à plusieurs reprises d'alerter les responsables d'Atrient, Wheeler et son partenaire de recherche en sécurité, dont le nom n'a pas été révélé, ont décidé de le signaler via les canaux les plus officiels, le FBI.
Un enregistrement de leur conversation, le 11 novembre 2018, avec des officiers du FBI – y compris Chris Geary, un enquêteur expérimenté de la division Cyber - entendu par Computer Business Review, révèle un patient, Wheeler, racontant les résultats à trois officiers.
Comme il l’explique dans l’enregistrement: «C’est un serveur non sécurisé à l’air libre. Nous sommes tombés sur ce qui nous a conduit à un serveur d'API non sécurisé. Vous pouvez consulter les données du joueur, modifier les paramètres de la capacité de configuration. Envoi de texte en clair; complètement vulnérable aux injections. Vous pouvez essentiellement imprimer de l'argent ou des crédits commerciaux si vous deviez l'exploiter. Chaque kiosque appelle chez le vendeur. »
«C’est un problème», répond l’agent du FBI.
Les vulnérabilités d'Atrien toujours non corrigées…
Le FBI – et le MGM, dont l’équipe de cybersécurité a répondu avec gratitude d’être informés de la vulnérabilité de son réseau – ont aidé à faciliter un appel avec Atrient pour discuter de la question.
Dans un appel (enregistré par Wheeler) qui inclut la directrice de l’exploitation d’Atrient, Jessie Gill, et les officiers du FBI, Wheeler tente une nouvelle fois patiemment d’expliquer à quel point le problème est grave: «Les kiosques permettent de racheter des crédits promotionnels. Ce qui représente un gros risque en ce sens que vous pourriez facilement gonfler votre compte pour devenir un «gros payeur»; échanger des récompenses. Vos programmeurs ont besoin d’une meilleure politique de sécurité. ”
Jessie Gill répond: «Les informations que vous avez partagées avec nous sont fantastiques, nous aimerions posséder ces informations. Comment pouvons-nous y arriver? "
Les officiers du FBI commentent: "Du côté du FBI, nous sommes très reconnaissants pour toutes les personnes impliquées dans cette affaire."
Atrient a ensuite demandé aux chercheurs de signer un accord de non-divulgation (NDA), tout en suggérant qu'ils seraient heureux de fournir un support et tous les détails de vulnérabilité pour 140 heures de travail (coté à 400 $ / heure pour leur temps; environ 150 £ / heure chacun pour les deux).
(Atrient aurait pu, bien sûr, simplement recruter sa propre équipe d’audit de sécurité / test de sécurité pour renvoyer les demandes et aider à les corriger).
Wheeler dit qu'Atrient a alors commencé à bloquer les chercheurs en sécurité, sans que le problème ne soit résolu. Aucune NDA n'a été envoyée, révèle une chaîne de courrier électronique.
Wheeler a décidé de se rendre à la conférence ICE London et d’examiner la question.
Il affirme s'être présenté poliment comme le chercheur en sécurité auquel ils avaient parlé au téléphone à plusieurs reprises, lorsque la situation s'était détériorée. “Je suis allé serrer la main de leur PDG et j'ai réussi à me présenter… ils ont tout de suite compris qui j'étais.”
«Leur PDG est resté assis en quelque sorte. Jessie Gill, la directrice des opérations, s'est alors levée et a déclaré: "Nous discutons avec le FBI et avec Scotland Yard!"
"Ils ont dit:" Vous pensez que nos amis peuvent nous harceler! ", Ai-je dit – et je ne le sais pas – je ne sais pas du tout de quoi vous parlez. Ensuite, il a attrapé ma poitrine et m'a attiré vers lui… en disant qu'il devrait demander au FBI et à Scotland Yard de nous chercher… Il a attrapé mon badge et a dit que je vais garder ça. Alors je l'ai récupéré. Puis il a commencé à le tirer de force pour l'enlever de la longe et le mettre sur la table. "
Par téléphone, Jessie Gill a déclaré à Computer Business Review: «Il n'y a pas eu d'agression."
«Il y a une inculpation contre ce type… sa mère est allée en prison. Il n’ya pas de vulnérabilité… ces gars-là n’ont aucune idée de ce qu’ils ont fait et n’ont pas fait. Comment puis-je l'expliquer? Je ne vais pas chasser quelque chose qui n'existe pas simplement parce que vous pensez avoir quelque chose. Si vous regardez ces personnes qui essaient de faire cela… elles ont pris des informations publiquement disponibles et les ont tordues dans un stratagème d'extorsion. Je ne suis pas intéressé par les messages qu’ils ont envoyés. Il n'y a pas de rapport de police. Nous ne sommes pas allés à la police. Il existe des preuves de vidéosurveillance selon lesquelles il n'y a pas eu d'agression.
Un porte-parole de la police métropolitaine a déclaré par courriel:[We] peut confirmer que la police a reçu un signalement téléphonique d'une altercation à Excel, Western Gateway, Newham, selon laquelle un homme de 23 ans aurait été agressé par un deuxième homme qui aurait pris le cordon de sécurité de la victime. Pas de blessures. Pas d'arrestation. Des policiers de la police de Newham enquêtent. Les enquêtes continuent.
Atrient: “Faux Revendications”
Atrient a envoyé un courrier électronique: «Nous avons pris connaissance de fausses déclarations concernant une faille de sécurité liée à l'un de nos produits et à une agression présumée. En novembre 2018, l'un de nos sites Web de vente de produits a fait l'objet d'une attaque en force sur un serveur de démonstration ne contenant aucune donnée personnelle. L'étendue de l'attaque a permis d'identifier les sites de démonstration auxquels notre service commercial s'est engagé. "
«Nous avons ensuite été contactés par un groupe. Cela comprenait une personne qui s’était identifiée comme Dylan English, que nous connaissons maintenant comme étant un alias, Guise Bule de secjuice.com, et une personne qui avait refusé de s’identifier par un nom. Peu de temps après avoir été contacté, il est devenu évident qu'il existait un motif financier pour ne pas publier les allégations. Le FBI est au courant de ce groupe.
Atrient a ajouté: «Le 6 février 2019, l’un des« chercheurs en sécurité »a rendu visite au stand Atrient lors de la conférence ICE à Londres. Il portait un badge qui l'identifiait comme Dylan Wheeler, que nous croyons être son vrai nom. Après avoir été informé qu'Atrient ne paierait pas d'argent, il a formulé une autre fausse accusation, cette fois-ci d'agression, qu'une enquête du Centre de Conventions ExCel a jugée sans fondement. "
Ils ont conclu: «Cette affaire est maintenant entre les mains des conseillers juridiques de la société et des forces de l’ordre. Il ne serait donc pas approprié de faire d'autres commentaires. "
Wheeler ajoute que les systèmes d’Atrien n’ont pas encore été mis à jour.
«Les lecteurs peuvent remarquer que le site Web d’Atrient n’est pas sûr non plus…
Commentaires
Laisser un commentaire