CNET科技资讯网1月16日国际报道 Macworld会议网站的安全漏洞,让一名黑客宣称取得价值1,695美元的白金级通行证,现场观赏Steve Jobs的演说。
一位安全专家表示,Macworld Conference and Expo的活动网站有一安全漏洞,能让企业黑客取得免费的"白金级通行证",价值1,695美元。
这类通行证是最贵的等级,包括众人抢破头的Jobs上周二(9日)重要演说的前排座位。Jobs在那场演说中公开苹果的新产品iPhone。
位于加州柏克莱的安全专家Kurt Grutzmacher 日前在个人博客中透露,Macworld网站上的特别折扣码没有适当防护,让他得以轻松发现免费取得白金通行证的程序代码。
Grutzmacher在8日领取他的免费"白金通行证",并于隔天通报活动主办单位IDG World Expo。Macworld已于12日闭幕。Grutzmacher写道:"他们花了一整天的时间检查网站记录,发现其它人也发现并利用这个弱点,但只有我一人通报。"
Macworld主办单位IDG World Expo不愿证实或否认网站遭骇。发言人Charlotte McCormack仅简单表示"不予置评"。负责该活动注册事宜的Registration Control Systems则将所有问题推给IDG。
网络安全专业公司SPI Dynamics研究员Billy Hoffman表示,Macworld被骇的情况,是Web 2.0应用软件安全问题的绝佳事例。他指出,IDG将某些确认使用者注册的工作交给PC,以加速其网站的回应。他们把某些JavaScript程序代码推给浏览器,如此一来便泄漏出网站如何验证和使用优先码。
Hoffman说:"我12日造访IDG的注册网页,发现JavaScript还是含有优先码,大方供任何人盗用。为了丰富使用者的体验,(网站)程序员在JavaScript里面暴露了所有折扣价,让黑客得以发现它们,骗取数千美元的价值。"
Grutzmacher的行为并非任何人都办得到。注册之后,他发现Macworld在线注册页真的包含可用的折扣码,也就是所谓的"优先码"。但这列程序经过加密,显示成MD5乱码。只是这类保护很容易破解,因为网站本身便提供一些破解的信息。Grutzmache只用了不到10秒钟,便取得免费白金通行证的程序代码。
Grutzmache写道:"你终究不希望提供客户所有必要的信息,让他们取得不该得到的东西。在服务器而非客户的PC验证,并且守住金钥。当然,你也不该用非常简单的金钥提供折扣资格。"