Майкл Коутс, эксперт по сетевым приложениям из компании Mozilla, обнаружил
несколько проблем на портале Black Hat Uplink, обслуживающем проходящую сейчас в
Лас-Вегасе хакерскую конференцию Black Hat. Найденные баги позволяли
просматривать прямые видеотрансляции с конференции без уплаты взноса за право
доступа.
Дело в том, что на этот раз организаторы конференции решили монетизировать ее
популярность с помощью специального сервиса, на котором сторонние наблюдатели
могут смотреть прямые трансляции докладов и знакомиться с документальными
материалами. Эта услуга дает право на полное ознакомление со всем контентом
мероприятия всего за... 395 долларов.
Впрочем, по словам Майкла Коутса, платить эту сумму было вовсе необязательно.
Регистрируясь на сайте для просмотра трансляций с конференции, эксперт
наткнулся в на ряд странностей, которые сподвигли его на более глубокое
исследование. Немного поковырявшись, он сумел завершить регистрацию без
предоставления данных о своей кредитке. После этого он обнаружил специальную
страницу, позволяющую смотреть видео без оплаты.
В своем блоге Коутс
пишет, что его “нестандартный подход” к регистрации обнажил баги в алгоритме
системы, а заодно позволил предъявить общественности уязвимость на сайте
конференции, на которой собираются знатоки уязвимостей. Впрочем, эксперт
отмечает, что система платного доступа к видеоконтенту была разработана
сторонней организацией, а не устроителями Black Hat. Через несколько часов после
того, как он указал разработчикам на проблемы, все они были устранены.
