3 years old kid playing pubg on computer | Pubg Addicted
Problemet upptäcktes av en finsk man som arbetar som IT-chef för ett företag inom industrisektorn. Han pratade med IDG News Service, men begärde anonymitet.
Microsofts Outlook.com-e-posttjänst låter användare ha flera e-postadresser som heter alias under ett enda konto. För närvarande tillåter tjänsten endast att alias skapas på domänen @ outlook.com, men flera domäner var tillgängliga för flera månader sedan.
[Ytterligare läsning: Så här tar du bort skadlig kod från din Windows-dator]
Omkring sex För några månader sedan fick den finländska IT-chefen, som redan hade en @ live.fi och @ live.com-adress, en ide att kontrollera om han kunde registrera några privilegierade användarnamn som sina extra alias.Privilegierade användarnamn som admin @, administrator @ , postmaster @, hostmaster @ och webmaster @ är vanligtvis reserverade för domännamnsejare för administrativa ändamål men IT-chefen lyckades registrera [email protected], [email protected] och [email protected] som sina alias eftersom Microsoft blockerade inte dem.
Inledningsvis trodde han att han kanske skulle få potentiellt känsliga e-postmeddelanden avsedda för domänägaren och att han då skulle rapportera problemet, men när tiden gick, kom ingen email för dessa adresser. Sedan fick han i januari en ide att försöka få ett SSL-certifikat med en av adresserna.
Han valde en certifikatmyndighet som heter Comodo eftersom företaget erbjuder gratis certifikat som är giltiga i 90 dagar och eftersom det accepterar domänägande verifiering via e-postadresser av administratortyp.
Enligt IT-chefen fick han certifikatet sent den 26 januari och hela processen tog cirka 10 minuter vilket gjorde att han trodde att den var helt automatiserad. Följande dag rapporterade han frågan till CERT-FI, som ingår i Cyber Security Center Finland.
Han hävdar också att han rapporterade frågan till en e-postadress som anges som kontakt för live.fi-domänen på Jan. 31 och till [email protected] den 24 februari, men han fick inget svar från någon adress. Det är värt att notera att korrekt e-postadress till Microsoft för rapportering av sårbarheter är [email protected], inte [email protected]. Men enligt ett Microsoft-blogginlägg från 2006 borde det finnas ett automatiskt svar från [email protected] med information om den korrekta kontakten.
Microsoft utfärdade en uppdatering måndag för att svartlista det felaktigt utfärdade certifikatet, men inte innan du suspenderar IT-chefens konto den 12 mars. Det låste honom inte bara från hans e-post utan även OneDrive, Xbox Live, Lumia-telefonen och andra Microsoft-tjänster. Microsoft lanserade äntligen sitt konto idag.
"Naturligtvis var inte alla de beslut jag fattat smart, men jag försökte mitt bästa", sa han och hänvisade till hur han hanterade utredningen och rapporteringen av frågan. Genom våra egna undersökningar, oberoende av forskaren, identifierade vi och har fastställt felkonfigurationen som gjorde det möjligt för människor att skapa konton som reserverats för Microsofts användning, säger en Microsoft-representant via e-mail onsdag.
Microsoft-representanten tillade att det är "standard öva "för att företaget ska inaktivera konton där det kan finnas en kränkning av Microsofts användarvillkor eller där en säkerhetsrisk kan vara närvarande och att vägleda kontoinnehavare om hur man återställer åtkomst nästa gång de försöker logga in." Genom detta process, vi kontaktade forskaren och arbetar med honom för att återställa sitt konto, "sade representanten.
IT-chefen bekräftade efter att Microsoft skickade sitt uttalande om att han återvände till sitt konto.
Administrativa e-postadresser måste reserveras från början så att ingen kan använda dem skadligt, säger Frans Rosén, medgrundare till webbsäkerhetsbyrån Upptäck, via e-post. Vissa certifikatutgivare verifierar manuellt domänägarskapet, men sådana e-postadresser, tillsammans med de som anges i domänen som registrerats, accepteras som standard för verifiering, vilket gör deras kapning väldigt farligt, sade han. Rosén uttryckte överraskning att Microsoft misslyckades med att skydda de användarnamn som säger att detta är ett ganska allmänt känt problem för tjänster som tillåter användargenererade e-postadresser.
Forskare vid Detectify har nyligen undersökt hur borttagna underdomäner kan missbrukas av angripare, eventuellt att skaffa SSL-certifikat som då kan användas i man-i-mitten attacker.
Det är uppenbarligen att Microsoft är villigt att sätta sina pengar, men det är dess ordspråkliga mun, och leda sina kunder genom exempel. Det finns rapporter om att Microsoft planerar att accelerera sin vanliga datoruppdateringscykel för att ge alla anställda nya Windows 8-stationära och bärbara datorer. Men vänta, det finns mer! Microsoft åberopar också att det finns nya Windows Phone 8-smartphones och Surface RT-tabletter till alla anställda.
Microsoft planerar att ge alla anställda en egen Surface RT-tablett.
Plex gav sina användare en viktig säkerhetsuppgradering förra veckan. Hemmet media streaming plattform meddelade att alla användare får gratis SSL-certifikat, så att de kan ansluta till sina medier via en krypterad HTTPS-anslutning. Den nya funktionen är ett partnerskap med certifikatmyndigheten DigiCert. Plex säger att projektet är "en av de största implementationerna av offentligt betrodda certifikat, någonsin". Den nya Plex-funktionen är inte bara för Plex Plus-abonnenter som betala
Få säker
