Ερευνητές εκμεταλλεύτηκαν ευπάθειες στους πελάτες WHOIS και ανακάλυψαν ότι ο παλιός τομέας διακομιστή WHOIS της κατάληξης .MOBI ήταν διαθέσιμος για αγορά, οδηγώντας σε απροσδόκητο έλεγχο του τομέα.
Ο διακομιστής τους έλαβε 2,5 εκατομμύρια ερωτήματα από διάφορους φορείς, συμπεριλαμβανομένων κυβερνητικών και στρατιωτικών, εταιρειών κυβερνοασφάλειας και Αρχών Πιστοποίησης (CAs), αποκαλύπτοντας σημαντικούς κινδύνους ασφαλείας.
Το περιστατικό αναδεικνύει τις ευπάθειες στο σύστημα WHOIS και στη διαδικασία επαλήθευσης των Πιστοποιητικών Αρχών (CA), υπογραμμίζοντας την ανάγκη για συνεχή δοκιμή ασφάλειας και επαγρύπνηση απέναντι στην παρωχημένη υποδομή του διαδικτύου.
Ερευνητές ξόδεψαν $20 για να αποκτήσουν απομακρυσμένη εκτέλεση κώδικα (RCE) και κατά λάθος έγιναν διαχειριστές του TLD .mobi λόγω ενός ληγμένου domain.
Το περιστατικό υπογραμμίζει τη σημασία του να μην αφήνουμε ποτέ ένα domain να λήξει και προτείνει ότι το μονοπώλιο της Verisign στα domains θα πρέπει να ρυθμιστεί.
Το άρθρο τονίζει την ευθραυστότητα του TLS/SSL και την κρίσιμη ανάγκη διατήρησης της ιδιοκτησίας του τομέα για την αποτροπή παραβιάσεων ασφαλείας.
Η Pave, μια startup που υποστηρίζεται από το YC, βοηθά άλλες startups με την αποζημίωση ενσωματώνοντας με συστήματα HR και Payroll για να συγκεντρώσει δεδομένα και να παρέχει αναλύσεις εύρους αποζημίωσης.
Υπάρχουν ανησυχίες σχετικά με το αν αυτή η πρακτική θα μπορούσε να θεωρηθεί ως αντι-ανταγωνιστική καθορισμός μισθών, παρόμοια με την περίπτωση της RealPage, εγείροντας ερωτήματα σχετικά με τη νομιμότητα της συμπαιγνίας στους μισθούς.
Η νομιμότητα και οι ηθικές επιπτώσεις του επιχειρηματικού μοντέλου της Pave βρίσκονται υπό εξέταση, καθώς η συμπαιγνία στους μισθούς είναι γενικά παράνομη.
Η Pave, μια startup που υποστηρίζεται από το YC, συγκεντρώνει δεδομένα από συστήματα HR και Μισθοδοσίας για να παρέχει εύρη αποδοχών, εγείροντας ερωτήματα σχετικά με πιθανές αντι-ανταγωνιστικές πρακτικές.
Οι κριτικοί συγκρίνουν την υπηρεσία της Pave με τα προβλήματα τιμολόγησης ενοικίων της RealPage, ενώ άλλοι υποστηρίζουν ότι η κοινοποίηση δεδομένων αποζημίωσης δεν είναι παράνομη χωρίς ρητές συμφωνίες καθορισμού μισθών.
Παρόμοιες υπηρεσίες, όπως το "The Work Number" της Equifax και το Radford, υπάρχουν εδώ και χρόνια, αλλά οι ανησυχίες για την ιδιωτικότητα και την καταστολή των μισθών παραμένουν.
Στις 16 Αυγούστου 2024, η γερμανική αστυνομία έκανε έφοδο στο σπίτι και το γραφείο της Artikel 5 e.V., με στόχο να αποκαλύψει την ταυτότητα των χρηστών του Tor, αλλά δεν κατέσχεσε κανένα υλικό.
Το Artikel 5 e.V. σχεδιάζει να αμφισβητήσει νομικά το ένταλμα έρευνας για να αποτρέψει μελλοντικές επιδρομές και καλεί σε γενική συνέλευση στις 21 Σεπτεμβρίου 2024, για να συζητηθεί το μέλλον της οργάνωσης.
Η συνέλευση θα εξετάσει επιλογές όπως η εύρεση νέων μελών του διοικητικού συμβουλίου, η διακοπή των κόμβων εξόδου ή η εκκαθάριση της οργάνωσης, με λεπτομέρειες διαθέσιμες στην ιστοσελίδα τους.
Ένας χρήστης του φόρουμ του Tor Project μοιράστηκε την εμπειρία του από τη λειτουργία κόμβων εξόδου του Tor για πέντε χρόνια, κατά τη διάρκεια των οποίων ο πάροχος φιλοξενίας του έλαβε τρεις κλητεύσεις από τις αρχές επιβολής του νόμου.
Οι κλητεύσεις σχετίζονταν με σοβαρά περιστατικά, συμπεριλαμβανομένης μιας απειλής για βόμβα, ενός phishing email και χάκερς από το Κατάρ, γεγονός που οδήγησε τον χρήστη να κλείσει τους κόμβους εξόδου του λόγω άγχους για πιθανές νομικές συνέπειες.
Η συζήτηση ανέδειξε τις ηθικές επιπτώσεις και την ισορροπία μεταξύ ιδιωτικότητας και πρόληψης του εγκλήματος, με την ελπίδα να επαναληφθούν οι δραστηριότητες στο μέλλον παρά τις προκλήσεις από τις αρχές επιβολής του νόμου.