처음으로 호스팅되고 공개되는 PDF입니다.

FCC.gov 웹 사이트에서 자체 공개 API 키를 사용하여 멀웨어 업로드

엄청나게 FCC를 통해 파일을 웹 사이트에 업로드하고 FCC.gov 도메인을 사용하여 공개적으로 액세스 할 수 있습니다. 또는 오히려 그렇지는 않지만 사람들이 사람들에게 그렇게하고 자신의 문서에서 방법을 말하고 있다는 것을 어떻게 든 깨닫지 못했습니다.

(업데이트 : 링크가 더 이상 작동하지 않아 FCC가이를 비활성화 시켰습니다.) FCC의 Ajit Pai 회장에 관한이 문서는 FCC에서 일하는 사람에 의해 명확하게 제시되지 않았으며,이 문서도 가지고 있지 않습니다.

트위터의 위반에 대한 첫 번째 보고서

현재 파일을 업로드하는 사용자는 전자 메일 주소를 가진 사람에게 보내는 열쇠 인 FCC의 자체 공용 API를 사용하여이 작업을 수행 할 수 있습니다.

FCC API 키 등록 확인

나는 실제로 어떻게 그렇게하지 않았는지 분명히 말하지 않을 것이지만, 만약 당신이 적절한 기술 경험을 충분히 가지고 있다면 공개 FCC API 문서가 당신이 알아야 할 모든 것을 말해줍니다.

트위터에서 일어나는 것을 볼 때 사람들은 다른 파일 형식 업로드를 실험하는 것처럼 보이며 지금까지 최대 25MB 크기의 pdf / gif / ELF / exe / mp4 파일을 관리했습니다.

즉, FCC.gov 웹 사이트에서 맬웨어를 쉽게 호스팅하고 .gov 웹 사이트의 맬웨어에 연결된 피싱 캠페인에 사용할 수 있습니다.

지금까지 기술적 인 문제가있는 사용자는 FCC.gov 링크를 사용하여 비디오를 업로드하고 재생할 수 있다는 것을 발견했으며 일부는 업로드하는 데 문제가 있었지만 다른 사람들은이 취약점을 가지고 노는 것은 분명하지 않습니다.

이 웃긴 FCC.gov 호스팅 사진을 확인하십시오. 처음으로 호스팅 된 이미지 였지만 상상할 수 있기 때문에 다른 이미지와 연결되지는 않습니다.

이것은 FCC에게 명백히 난처한 일이며, 그들이 더 조사 할 때까지 공개 API 사용을 비활성화 한 것처럼 보이지만 DEMO API는 여전히 잘 작동하고 모든 콘텐츠는 여전히 호스팅된다고 들었습니다.

FCC 레터 헤드를 사용하여 허위 커뮤니케이션을 업로드하여 실제 문서를 가장하는 사람들을 파견 할 수는 없습니다. 사기 행위의 가능성은 엄청나게 높으며이 취약점은 쉽게 악용 될 수 있습니다.

이 이야기는 너무나 새롭기 때문에 아직 주류 기술 미디어에 영향을 미치지 않았습니다 (업데이트 : Register, Gizmodo, Vice 및 Breitbart가이 이야기를 다루었습니다). 우리는이 취약점이 존재한다는 사실을 공개적으로 알고 있었지만 그 기간이 얼마나 걸 렸는지 알고 있습니다 이전에 발견 한 사람들이 학대 했습니까?

**** 업데이트 : OP와의 인터뷰 ****

나는 막 첫 cuck PDF를 FCC 웹 사이트에 보낸 사람과의 인터뷰를 마쳤으며이 이야기가 내일 미디어에서 어떻게 진행되는지 알 때까지 지금은 그의 이름을 비밀로 유지해달라고 요청했습니다.

본인은 원본 PDF 문서 메타 데이터를 확인하여 자신의 계정을 확인했으며 웹에서이 기사를 처음 언급하기 오래 전에 다른 사람들이 취약점을 사용하고 있음을 알리기 전에 작성했습니다.

OP는 합법적이며이 취약점을 우연히 발견 한 후 내 이야기를 우연히 발견하고 나에게 연락을 취해 기록에 동의했습니다.

그는 내가 나의 출처를 보호한다는 것을 알고 있기 때문에 이것을했다.

항상, 항상 것입니다.

OP는 자정 마감 직전 FCC.gov 웹 사이트에 댓글을 달았으며 댓글을 게시하기 전에 파일에 URL을 할당했음을 깨달았습니다.

대부분의 사람들이 사용하고있는“표현”주석 제출 시스템으로 파일을 첨부 할 수 없으며보다 '견고한'제출 기능을 사용하고있었습니다.
FCC.gov 주석 달기 UI

OP는 Net Neutrality에 대해 화가 났으며 현재 불멸의 문장이 포함 된 문서를 작성하여 FCC에 업로드하기로 결정했습니다.

OP는 대학에서 20 년제 재학중인 학생으로 숙제에서 벗어나기 시작했고, 재미를 느끼기로 결정했고, 멍청한 농담으로 보았고 상황이 나빠질 수도 있고 다른 사람들이 그의지도를 따를 것이라는 것을 전혀 몰랐습니다.

그는 또한 누구도 자신의 PDF를 눈치 채지 못할 것이라고 생각하지 않았습니다.

또한 OP는 API 키를 신청하지 않았기 때문에 FCC.gov TOS에 동의하지 않았으며 해킹과 관련된 잘못된 댓글 시스템을 통해 URL을 얻었을 뿐이라는 점도 중요합니다.

FCC는 어느 곳에서나 TOS를 시행하지 않으므로 어떠한 종류의 서비스 약관에 동의하지 않아도 여기에서 가입 할 수 있으므로 OP는 TOS를 위반하지 않는 것 같습니다.

OP는 무서워서 많은 사람들이 그를 정말로 걱정하게 만들고 있기 때문에 실제로 PDF를 업로드하기 위해 아무것도 해킹하지 않았다는 점에 주목할 가치가 있습니다.

이런 종류의 대화는 OP 걱정입니다.

OP는 이미 조언을 요청하기 위해 EFF에 편지를 보냈으며, 대학에서 직업 경력을 시작하고 면접을 시작하기 위해 대학을 떠날 때와 같이 고통의 세계에 들어서고 있다고 믿습니다.

그는 아무도 그것을 보지 않을 것이라고 생각했기 때문에 개인 정보 보호 조치를 취하지 않았습니다.

우리 모두 OP가 어리석은 것에 동의 할 수 있다고 생각하지만, 손가락을 엇갈 리더라도 FCC 웹 사이트의 결함과 FCC의 사이버 보안 자세에 큰 허점이 있다고해서 아무도 그를 강하게 처벌하지는 않을 것입니다.

OP는 우리에게 호의를 베풀었고 범죄자들이 먼저 그것을 찾지 못해서 운이 좋았습니다.

스폰서 | 원격 브라우저 격리 솔루션을 찾고 계십니까? WEBGAP 브라우저 격리 및 WEBGAP 원격 탐색 서비스의 홈인 WEBGAP을 확인하십시오.