Sarahah

Volgens wat te lezen is op The Next Web-pagina, heeft een Britse onderzoeker talloze beveiligingsfouten gemeld in de Sarahah-applicatie, die een rage is onder tieners. Sarahah betekent in het Arabisch eerlijkheid. En hoewel velen de applicatie gebruiken om lastig te vallen of te pesten, is het doel van de applicatie precies het tegenovergestelde: onze medemensen complimenteren. De beveiligingsproblemen waarnaar ze verwijzen, zijn uitsluitend beperkt tot de desktopversie van de Sarahah-applicatie, waardoor de mobiele versie voorlopig gratis blijft.

Veel bugs plagen de webversie van Sarahah

Scott Helme, een onderzoeker, ontdekte dat de CSRF-virusbescherming op de website van Sarahah heel gemakkelijk te doorbreken was. Het CSRF-virus is enorm schadelijk en gevaarlijk, omdat het in staat is om controle over ons account over te nemen en bewerkingen uit te voeren die geen verband houden met ons gebruik. Een aanvaller, legt Helme uit, zou ons account kunnen gebruiken om andere onbekende accounts te bookmarken, om financieel te profiteren.

Hij wijst er ook op dat afgelopen augustus een andere onderzoeker, Rony Das genaamd, ook meer beveiligingslekken ontdekte. Er werd met name een XSS-kwetsbaarheid gevonden. Kort gezegd: een hacker zou kwaadaardige code kunnen invoegen in de HTML van Sarahah's pagina, waaronder virussen en spyware.

Andere problemen: Helme ontdekte ernstige fouten in de beveiligingsheader, waardoor het gebruik van een HSTS-beveiligingsprotocol wordt verhinderd. Dit is een tool die steeds vaker wordt gebruikt om te vechten tegen het kapen van cookies en de mogelijkheid dat een aanval misbruik maakt van oude versies van internet. Helme's taak is om te proberen Sarahah zover te krijgen dat ze haar gebruikers goed beschermt. Zoals het web aangeeft, is zijn grote concurrent, Ask.fm, een site vol met fouten en beveiligingsfouten. Dus, wat is er beter dan Sarahah om te leren van de mislukkingen van deze en een veilige webpagina te worden.

Intimidatie en destructie: het gevaar van Sarahah op internet

Over het beveiligings- en anti-intimidatiefilter heeft de onderzoeker ook iets te zeggen. Hij heeft gemerkt dat bijvoorbeeld in de zin 'Ik zou een moord doen voor een cheeseburger', de toepassing de post zou verwijderen, omdat het een negatief woord vindt, 'Kill'.Als er echter een komma werd geplaatst na 'Would kill', zou de toepassing deze negeren. Ja, het is grammaticaal niet correct, maar de boodschap zou toch overkomen.

En nog meer mislukkingen: Sarahah's pagina heeft geen limiet op de snelheid waarmee gebruikers reacties schrijven, dus iedereen kan het slachtoffer worden van een bombardement van intimidatie, met een simpele regel script. Sarahah heeft ook geen massa-verwijderingsfunctie, dus als we slachtoffers zijn van een commentaarbombardement, moeten we ze één voor één verwijderen.

Om het wachtwoord in Sarahah opnieuw in te stellen, vraagt ​​de website de gebruiker bovendien alleen om het e-mailadres dat aan het account is gekoppeld. Eenmaal aangevraagd, genereert het systeem een ​​nieuwe en stuurt deze automatisch naar de gebruiker. In die zin zou een hacker een scriptregel kunnen wijzigen, zodat het wachtwoord elk moment zou veranderen en het voor de eigenaar van het account dus onmogelijk zou zijn om er toegang toe te krijgen.Hetzelfde script kan ook worden gebruikt om de toegang tot het account mislukt, zelfs als het wachtwoord geldig is. Sarahah vergrendelt alle gebruikersaccounts met meer dan 10 inlogpogingen.

De onderzoeker nam later contact op met Sarahah om haar te informeren over al deze lawine van beveiligingsinbreuken in haar webversie. Een onderzoek dat maanden van zijn tijd heeft gekost en dat de Sarahah-applicatie eindelijk tot een gemeenschap kan maken die vrij is van intimidatie en cyberaanvallen met voorbedachten rade.