Nieuws
image

Tesla betaalt onderzoeker 10.000 dollar wegens vergeten update

donderdag 20 februari 2020, 16:20 door Redactie, 5 reacties

Tesla heeft een beveiligingsonderzoeker 10.000 dollar betaald omdat het vergeten was een beschikbare beveiligingsupdate voor Microsoft SQL Server te installeren. Op dinsdag 11 februari kwam Microsoft met een patch voor een kwetsbaarheid in Microsoft SQL Server Reporting Services waardoor een aanvaller op afstand code zou kunnen uitvoeren. Alleen het versturen van een speciaal geprepareerde "page request" zou voldoende zijn.

De kwetsbaarheid was gevonden door beveiligingsonderzoeker Soroush Dalili van securitybedrijf MDSec, die op 14 februari details over de kwetsbaarheid en een proof-of-concept request publiceerde. Via deze request was het beveiligingslek te demonstreren. Een Duitse beveiligingsonderzoeker met de naam Parzel ontdekte dat Tesla de beschikbare beveiligingsupdate voor één van de servers nog niet had uitgerold en de server daardoor kwetsbaar was.

De onderzoeker ontwikkelde vervolgens een exploit waardoor hij willekeurige code op de Tesla-server had kunnen uitvoeren om die vervolgens volledig over te nemen. Tesla biedt onderzoekers via het bugbountyplatform Bugcrowd beloningen voor het melden van kwetsbaarheden. Parzel rapporteerde zijn bevinding op 15 februari bij Bugcrowd en kreeg afgelopen dinsdag 10.000 dollar voor zijn bugmelding toegekend.

Image

Reacties (5)
20-02-2020, 17:10 door The Avenger
dat is nog eens leuk om te horen, iemand belonen voor het vinden van een lek in je eigen omgeving. als de criminelen dat nou eens deden, dat is veel positiever dan randsomeware. wie het onderste uit de kan wil krijgt nog steeds het deksel op zijn neus.
21-02-2020, 00:37 door Anoniem
Ik heb last van updatestress. Het idee alleen al, dat iemand zou ontdekken dat ik niet op tijd geupdate heb. Het ongemak, dat ik steeds nog zelf die updates moet doen ook. Kan er niet een zelfrijdende auto worden bedacht die er altijd ook nog automatisch voor zorgt dat mijn bluetooth krultang altijd geupdate is? Want ik klik regelmatig naast die button van de zenuwen. Gewoon bang dat ik toch al te laat was met updaten. En dat dat dan uitkomt.

Als je niet heel de dag achter dat scherm zit te wachten om zo snel mogelijk updates te installeren, hoeveel respect heb je dan nog voor developers die werkelijk alles doen om dagelijks je gebruikers en advertentie ervaring te verbeteren?

Die stoere software jongens, die elke dag bereid zijn om zo snel mogelijk nieuwe dingen te lanceren, desnoods volledig ongetest en bereid om alle risico's van dien recht in de ogen te zien? Dat ze al die lakse klanten maar snel ergens ver naar Siberië sturen of zo. Want de markt schreeuwt toch zelf om de vooruitgang, altijd maar wat nieuws. Oppakken, al die update weigeraars. En vergeet mijn buren niet. Die hebben al een jaar lang hun voortuin niet geupdate. En dat gaat wel ten koste van de waarde van mijn huis!
21-02-2020, 07:38 door Bitje-scheef
dat is nog eens leuk om te horen, iemand belonen voor het vinden van een lek in je eigen omgeving. als de criminelen dat nou eens deden, dat is veel positiever dan randsomeware.

Ja criminelen willen tenminste 100x zoveel.
21-02-2020, 13:57 door Anoniem
Door Bitje-scheef:
dat is nog eens leuk om te horen, iemand belonen voor het vinden van een lek in je eigen omgeving. als de criminelen dat nou eens deden, dat is veel positiever dan randsomeware.

Ja criminelen willen tenminste 100x zoveel.

Criminelen zijn lui en dom. Ransomware wordt vaak door een crimineel gekocht. Een kant-en-klare toolkit om een ramsomware aanval uit te voeren. Enige wat de crimineel doet is zijn BTC adres toevoegen.

En het is Ransomware niet Ransomeware ;)
22-02-2020, 17:01 door The FOSS
Door Anoniem: ... En vergeet mijn buren niet. Die hebben al een jaar lang hun voortuin niet geupdate. En dat gaat wel ten koste van de waarde van mijn huis!

Weet je zeker dat het geen huurtokkies zijn die door een aspirant koper zijn ingezet?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search