Ehemaliger Gizmodo-Reporter benennt sich in „Slackbot“ um und bleibt monatelang unentdeckt

 (theverge.com)
1 Punkte von GN⁺ 2024-02-25 | 1 Kommentare | Auf WhatsApp teilen

Ehemaliger Gizmodo-Autor benennt sich in „Slackbot“ um und bleibt monatelang unentdeckt

  • Der frühere Gizmodo-Autor Tom McKay verließ das Unternehmen, änderte danach seinen Namen in „Slackbot“ und war über Monate hinweg auf Slack aktiv, ohne von Administratoren bemerkt zu werden.
  • McKay änderte sein Profilbild so, dass es dem Slackbot-Icon ähnelte, und konnte mithilfe von Sonderzeichen den in Slack bereits verwendeten Namen „Slackbot“ nutzen.
  • Durch diese Tarnung wurde McKays Konto nicht gelöscht und konnte über Monate bestehen bleiben; zudem konnte er Kollegen Nachrichten schicken, die wie Bot-Nachrichten wirkten.

Was sind die nächsten Schritte bei Microsofts gewaltiger 68,7-Milliarden-Dollar-Übernahme von Activision Blizzard?

  • Die britische Regulierungsbehörde versetzt Microsofts Übernahme von Activision Blizzard einen Dämpfer.
  • Microsoft muss um den Erhalt des Deals kämpfen, und in den kommenden Wochen wird eine wichtige Entscheidung der EU erwartet.

GN⁺-Meinung:

  • Dieser Artikel liefert ein interessantes Beispiel für einen technischen Streich und die Bedeutung von Sicherheit. Tom McKays kreative Verkleidung legt Schwachstellen in den Sicherheits- und Verwaltungsprozessen von Unternehmen offen.
  • Der Deal zwischen Microsoft und Activision Blizzard ist ein bedeutendes Ereignis mit potenziell großen Auswirkungen auf die Tech-Industrie und rückt Unternehmensübernahmen sowie Wettbewerbsregeln in den Fokus.
  • Solche Vorfälle erinnern Softwareingenieure an die Bedeutung von Sicherheit und Unternehmensrichtlinien und schärfen das Bewusstsein für Branchentrends.

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2024-02-25
Hacker-News-Kommentare

  • Ein ehemaliger Mitarbeiter erstellte im Modem-Rack-Controller-Modul ein Provisioning-Profil namens "Ringing" und nutzte damit über ein Jahr lang unbemerkt einen 128Kbit-ISDN-Dienst.

    • Auf der Statusseite des Modem-Racks wurde es als "Ringing" angezeigt und sah dadurch wie eine andere Telefonleitung aus, sodass es nicht entdeckt wurde.

  • Anekdote aus dem Jahr 2016 über ein Beratungsunternehmen, in dem man in Slack die Namen der anderen ändern konnte.

    • Alle änderten ihre Namen aus Spaß in "Papa" und hatten eine gute Zeit.

  • Es wird darauf hingewiesen, dass das Einschränken von Namensänderungen das Problem nicht löst, da es tatsächlich auch Menschen geben könnte, die Jira heißen.

    • Allein Namensänderungen zu beschränken reicht nicht aus, und es könnte tatsächlich jemanden mit dem Namen Jira geben.

  • Beschreibung eines Problems, das auftrat, als ein Unternehmen Kundendashboards mit Wildcard-Subdomains einrichtete.

    • Wenn man einen Dashboard-Slug wählt, der mit bestehenden Records wie www oder blog kollidiert, ist das Dashboard nicht mehr erreichbar.
    • Kunden können das Problem nicht selbst beheben und brauchen Hilfe vom Support-Team.

  • Geschichte über Streiche mit Unicode-Zeichen und Vorstellung eines vim-Plugins, das diese erkennt.

    • Informationen darüber, wie man mit ähnlich aussehenden Unicode-Zeichen Entwicklerkollegen Streiche spielen kann, sowie über ein vim-Plugin, das dies erkennt.

  • Lob für die Strategie, unauffällig zu bleiben, indem man sich als Service-Account tarnt.

    • Der beste Unterschlupf ist es, wie ein Service-Account auszusehen, den niemand anfasst.

  • Hinweis darauf, dass Unternehmen mit Gesetzen gegen Computerbetrug und -missbrauch auf solche Tricks reagieren könnten.

    • Über Gesetze gegen Computerbetrug und -missbrauch können Unternehmen auf solche Tricks reagieren.

  • Die Meinung, dass es für große Unternehmen ein Sicherheitsproblem sein kann, wenn Slack Namensänderungen nicht einschränkt.

    • Man kann seinen Namen in CEO oder slackbot ändern und Leute täuschen, bis sie den Unterschied nicht mehr bemerken.

  • Es wird darauf hingewiesen, dass ein ehemaliger Mitarbeiter sich in Slack zwar als slackbot tarnte, aber dennoch entdeckt wurde, weil die Leute ihn erkannten und ihn Tom nannten.

    • Der ehemalige Mitarbeiter tarnte sich als slackbot, aber Kollegen erkannten ihn und reagierten entsprechend.

  • Ein Mitarbeiterkonto wurde nach dem Ausscheiden eines Mitarbeiters nicht deaktiviert; daraufhin richtete er einen geheimen Kanal ein und kommunizierte dort mit Freunden.

    • Bis zur Deaktivierung hatte er eine amüsante Zeit damit, über einen geheimen Kanal mit Freunden zu kommunizieren.

  • Vorschlag, dass Unternehmen solche Probleme durch den Einsatz eines Single-Sign-On-Systems lösen könnten.

    • Mit einem Single-Sign-On-System ließe sich das Problem lösen, indem Mitarbeiter sich nicht mehr in Unternehmensdienste einloggen können.