在 8 月举行的开发者大会 DEF CON 29 上,全球最大的农业机械制造商 Deere & Company 表明,这些服务容易受到未经授权的访问。安全公司卡巴斯基实验室通过解释实际未经授权的访问方法及其影响引起了人们的注意。
白人黑客组织(Sick.Codes)成员凯文·肯尼(Kevin Kenny)向 Dear & Company 公布了未经授权的访问技术。他原本打算获取一个 Dear & Company 分发服务开发者账号来验证未经授权的访问。但是,他忘记了他创建的帐户的用户名,他说他尝试在帐户创建屏幕上输入多个用户名,但能够检查该用户名是否已被多次使用,而没有显示复杂的身份验证。因此,他认为他可以在 Dear & Company 帐户创建页面上搜索无限的用户名。
他分析了 Dear & Company 帐户创建 API 来检验假设。结果,我成功地编写了一个脚本,该脚本不断执行检索用户名的 API。使用该脚本搜索可能拥有 Dear & Company 帐户的 1,000 家公司的结果是,发现 1,000 家公司中有 192 家在 2 分钟内使用了他们的用户名。
通常,帐户创建系统会引入一种结构来防止这种不分青红皂白的搜索。但是亲爱的公司,没有这样的结构。此外,Kenny 尝试向 Dear & Company 报告此问题,但漏洞报告流程不明确,他只与负责人交谈过几次。他将安全漏洞告知了公司。
据卡巴斯基实验室称,最近开发的农业设备旨在允许远程操作各个部分。因此,如果农业机械和系统遭到黑客攻击,诸如将化肥施用量设置为正常量的数百倍,使土壤在几年内无法使用,或远程操作断电设备以停止收割过程等攻击,都是可能的。可能的。此类袭击不仅会伤害农业机械的所有者,还可能导致国家粮食危机。相关信息可以在这里找到。
Add comment