D2
Администратор
- Регистрация
- 19 Фев 2025
- Сообщения
- 4,380
- Реакции
- 0
Разработчики мессенджера для обмена зашифрованными сообщениями UseCrypt Messenger подали иск против польского ИБ-исследователя Томаша Зелински (Tomasz Zieliński), редактора блога Informatyk Zakładowy. Дело в том, что осенью 2020 года Зелински опубликовал в блоге статью, в которой рассказал об уязвимости в механизме приглашения пользователей.
Исследователь обнаружил, что в некоторых случаях, когда пользователи UseCrypt Messenger хотят пригласить друга в приложение, оно использует небезопасный домен (autofwd.com) для рассылки таких инвайтов. К тому же, помимо работы через HTTP, сайт AutoFWD.com был уязвим и для SQL-инъекций и XSS, что позволяло любому желающему захватить сайт, а затем прочитать или подделать приглашения.
Хотя осенью разработчики сайта AutoFWD.com признали, что исследователь прав, а в итоге вообще закрыли ресурс, теперь Зелински вскоре получил опровержение от V440 SA, юридического лица, стоящего за созданием UseCrypt Messenger.
В своем сообщении компания утверждала, что исследование специалиста содержало «ложную информацию». V440 SA заявила, что их приложение не использует AutoFWD.com для обработки приглашений, а вместо этого полагается на собственное решение, размещенное на get.usecryptmessenger.com.
Зелински пишет, что разработчики UseCrypt лукавят: уже после публикации его исследования они тихо внесли исправления в мессенджер, удалив AutoFWD.com из механизма обработки приглашений. Теперь же они пытаются все опровергнуть, хотя эксперт заранее уведомил компанию о проблемах и придерживался принятых в таких случаях правил.
Ситуация окончательно обострилась в марте 2021 года, когда Зелински сообщил в Twitter, что V440 SA подала на него в суд и теперь пытается заставить удалить статью.
https://twitter.com/x/status/1371215603931959305
По информации местного новостного ресурса Puls Biznesu, V440 SA также подала иски против двух других польских ИТ-блогов (Niebezpiecznik и Zaufana Trzecia Strona), утверждая, что они и Informatyk Zakładowy являются «организованной преступной группой» и были в сговоре.
Авторы блогов выпустили совместное заявление (1, 2, 3), в котором рассказывают, что компания просто пытается запугать их и подвергнут цензуре, вынудив удалить неугодные ей материалы о UseCrypt Messenger.
Источник: xakep.ru/2021/04/08/usecrypt-messenger/
Исследователь обнаружил, что в некоторых случаях, когда пользователи UseCrypt Messenger хотят пригласить друга в приложение, оно использует небезопасный домен (autofwd.com) для рассылки таких инвайтов. К тому же, помимо работы через HTTP, сайт AutoFWD.com был уязвим и для SQL-инъекций и XSS, что позволяло любому желающему захватить сайт, а затем прочитать или подделать приглашения.
Хотя осенью разработчики сайта AutoFWD.com признали, что исследователь прав, а в итоге вообще закрыли ресурс, теперь Зелински вскоре получил опровержение от V440 SA, юридического лица, стоящего за созданием UseCrypt Messenger.
В своем сообщении компания утверждала, что исследование специалиста содержало «ложную информацию». V440 SA заявила, что их приложение не использует AutoFWD.com для обработки приглашений, а вместо этого полагается на собственное решение, размещенное на get.usecryptmessenger.com.
Зелински пишет, что разработчики UseCrypt лукавят: уже после публикации его исследования они тихо внесли исправления в мессенджер, удалив AutoFWD.com из механизма обработки приглашений. Теперь же они пытаются все опровергнуть, хотя эксперт заранее уведомил компанию о проблемах и придерживался принятых в таких случаях правил.
Ситуация окончательно обострилась в марте 2021 года, когда Зелински сообщил в Twitter, что V440 SA подала на него в суд и теперь пытается заставить удалить статью.
https://twitter.com/x/status/1371215603931959305
По информации местного новостного ресурса Puls Biznesu, V440 SA также подала иски против двух других польских ИТ-блогов (Niebezpiecznik и Zaufana Trzecia Strona), утверждая, что они и Informatyk Zakładowy являются «организованной преступной группой» и были в сговоре.
Авторы блогов выпустили совместное заявление (1, 2, 3), в котором рассказывают, что компания просто пытается запугать их и подвергнут цензуре, вынудив удалить неугодные ей материалы о UseCrypt Messenger.
Источник: xakep.ru/2021/04/08/usecrypt-messenger/