Il primo PDF ospitato e visualizzato pubblicamente.

Il sito Web FCC.gov consente di caricare malware utilizzando la propria chiave API pubblica

In qualche modo incredibilmente FCC ti consente di caricare qualsiasi file sul loro sito Web e renderlo pubblicamente accessibile utilizzando il dominio FCC.gov. O meglio non lo fanno, ma in qualche modo non si sono resi conto che stanno permettendo alle persone di farlo e dicendo loro come nella propria documentazione.

Dai un'occhiata a (AGGIORNAMENTO: i collegamenti non funzionano più, la FCC li ha disabilitati). Questo documento sul presidente della FCC Ajit Pai, che chiaramente non è stato inserito da nessuno che lavora alla FCC, non ha nemmeno questo.

Primo rapporto della violazione su Twitter

Quelli che stanno attualmente caricando i file sono in grado di farlo utilizzando l'API pubblica della FCC, una chiave che sembrano inviare a chiunque abbia un indirizzo email.

Conferma registrazione chiave API FCC

Non ti dirò come e ovviamente non l'ho mai fatto da solo, ma se hai abbastanza del giusto tipo di esperienza tecnica, la documentazione pubblica dell'API FCC ti dice tutto ciò che devi sapere.

Da quello che posso vedere accadere su Twitter, le persone sembrano sperimentare il caricamento di diversi tipi di file e finora hanno gestito file pdf / gif / ELF / exe / mp4 con dimensioni fino a 25 MB.

Ciò significa che potresti facilmente ospitare malware sul sito Web FCC.gov e utilizzarlo in campagne di phishing che rimandano a malware su un sito Web .gov.

Finora quelli con le braciole tecniche hanno scoperto che puoi caricare video e riprodurlo utilizzando un link FCC.gov, alcuni hanno avuto problemi con il caricamento, mentre altri che giocano con la vulnerabilità non lo sono.

Dai un'occhiata a questa divertente immagine ospitata da FCC.gov, è stata la prima immagine ospitata ma non ho intenzione di collegarmi ad altri, perché puoi immaginare.

Questo è chiaramente estremamente imbarazzante per la FCC e anche se sembrano aver disabilitato l'uso dell'API pubblica fino a quando non indagheranno ulteriormente, mi è stato detto che la loro API DEMO funziona ancora perfettamente e tutto il contenuto è ancora ospitato.

Non possiamo avere persone che caricano false comunicazioni che trasportano una carta intestata FCC e fingono che siano documenti reali, il potenziale per uso fraudolento è ridicolmente alto e questa vulnerabilità è facilmente abusata.

Questa storia è così nuova che non ha ancora colpito i principali media tecnologici (Aggiornamento: The Register, Gizmodo, Vice e Breitbart hanno trattato questa storia) e anche se abbiamo appena realizzato pubblicamente che questa vulnerabilità esisteva, chissà da quanto tempo è passato abusato da persone che l'hanno trovato prima?

**** AGGIORNAMENTO: Intervista con OP ****

Ho appena finito di intervistare il ragazzo che ha inviato il primo cuck PDF sul sito Web FCC e mi ha chiesto di mantenere il suo nome riservato per ora fino a quando non vedremo come questa storia si svolgerà domani nei media.

Ho verificato il suo account controllando i metadati dei documenti PDF originali ed è stato creato molto prima della prima menzione di questa storia sul web, molto prima di notare per la prima volta gli altri che utilizzano la vulnerabilità e prima di scriverlo.

OP è legittimo e si è imbattuto in questa vulnerabilità, poi si è imbattuto nella mia storia e mi ha contattato per parlare, accettando di registrare.

Lo ha fatto perché sa che proteggo le mie fonti.

Sempre, sempre.

OP stava commentando sul sito Web FCC.gov poco prima della scadenza di mezzanotte e si è reso conto che avevano assegnato un URL a un file prima di pubblicare un commento.

Il sistema di archiviazione dei commenti "espresso" utilizzato dalla maggior parte delle persone non consente di allegare file e io utilizzavo la funzione di archiviazione più "solida".
FCC.gov Interfaccia utente di commento

OP era sconvolto dalla neutralità della rete e ha deciso di creare un documento contenente la frase ora immortale e caricarla su FCC.

OP è uno studente di 20 anni all'università e si stava prendendo gioco dei compiti e ha deciso di divertirsi un po ', lo ha visto come uno stupido scherzo e non aveva idea che le cose sarebbero andate così fuori controllo o che altri avrebbero seguito il suo esempio.

Inoltre non pensava che qualcuno avrebbe notato il suo PDF, altrimenti avrebbe scritto il documento in un modo più maturo, mi ha detto.

È anche importante notare che OP ritiene di non aver mai accettato i TOS di FCC.gov perché non ha mai richiesto una chiave API, è solo riuscito a ottenere l'URL attraverso il loro sistema di commenti difettoso, senza hacking coinvolti.

Questo è assolutamente vero, la FCC non applica i propri TOS da nessuna parte, è possibile iscriversi qui e qui senza mai dover concordare un accordo sui termini di servizio di qualsiasi tipo, quindi OP sembra non aver infranto i loro TOS.

OP è spaventato e molti di voi lo stanno davvero preoccupando, quindi vale la pena notare che in realtà non ha hackerato nulla per caricare il suo PDF.

Questo tipo di discorsi ha preoccupato l'OP.

OP ha già scritto al FEP per chiedere consigli, crede davvero che stia per entrare in un mondo di sofferenza per questo, proprio mentre sta lasciando l'università per iniziare la sua carriera professionale e intervistare lavoro.

Pensava che nessuno l'avrebbe visto, quindi non prese precauzioni sulla privacy.

Penso che possiamo essere tutti d'accordo sul fatto che l'OP sia stato sciocco, ma le dita incrociate nessuno lo puniranno duramente per ciò che è ovviamente un difetto nel sito Web della FCC e un enorme buco nella posizione della sicurezza informatica della FCC.

OP ci ha fatto un favore e siamo fortunati che i criminali non l'hanno trovato prima.

Sponsor | Alla ricerca di una soluzione di isolamento del browser remoto? Dai un'occhiata a WEBGAP, sede dell'isolamento del browser WEBGAP e del servizio di navigazione remota WEBGAP.