ホストされ、公開される最初のPDF。

FCC.gov Webサイトでは、独自の公開APIキーを使用してマルウェアをアップロードできます

信じられないほどFCCを使用すると、任意のファイルをWebサイトにアップロードし、FCC.govドメインを使用して一般にアクセスできます。むしろ、彼らはそうではありませんが、人々にそれをさせ、自分の文書でその方法を伝えていることに気付いていません。

(更新:リンクが機能しなくなったため、FCCがリンクを無効にしました。)FCCのAjit Pai会長に関するこの文書は、FCCで働いている誰によっても明らかにされていません。

Twitterでの違反の最初の報告

現在ファイルをアップロードしているユーザーは、FCC独自のパブリックAPIを使用してこれを行うことができます。これは、任意のメールアドレスを持つユーザーに送信するキーです。

FCC APIキーサインアップの確認

私はあなたにこれをどのように、そして実際にこれをやったことがないのかをお話しするつもりはありませんが、適切な種類の技術的経験を十分に持っている場合、公開されたFCC APIドキュメントはあなたが知る必要があるすべてを教えてくれます。

私がTwitterで起こっていることを見ると、人々はさまざまなファイルタイプをアップロードする実験をしているようで、これまでのところ最大25MBのサイズのpdf / gif / ELF / exe / mp4ファイルを管理してきました。

これは、FCC.gov Webサイトでマルウェアを簡単にホストし、.gov Webサイトのマルウェアにリンクするフィッシングキャンペーンで使用できることを意味します。

これまでのところ、技術的な問題を抱えている人は、ビデオをアップロードしてFCC.govリンクを使用して再生できることを発見しました。アップロードに問題がある人もいれば、脆弱性で遊んでいる人は明らかにいません。

この面白いFCC.govでホストされている画像をご覧ください。最初にホストされた画像でしたが、想像できるので他の画像にはリンクしません。

これは明らかにFCCにとって非常に恥ずかしいことであり、さらに調査するまでパブリックAPIの使用を無効にしているように見えますが、DEMO APIは引き続き正常に機能し、すべてのコンテンツがまだホストされていると言われます。

FCCレターヘッドを持った偽の通信をアップロードし、本物の文書であると偽って人々をアップロードすることはできません。不正使用の可能性は途方もなく高く、この脆弱性は簡単に悪用されます。

このストーリーは非常に新しいので、まだメインストリームのハイテクメディアにはヒットしていません(更新:Register、Gizmodo、Vice、およびBreitbartがこのストーリーをカバーしました)。より早くそれを見つけた人々によって虐待された?

**** UPDATE:OPインタビュー****

最初のPDFをFCCウェブサイトに送った男のインタビューを終えたところです。明日、この話がメディアでどのように展開されるかを知るまで、彼は今のところ彼の名前を秘密にしておくように頼みました。

オリジナルのPDFドキュメントのメタデータをチェックして彼のアカウントを確認しました。この記事がWebで最初に言及されるかなり前、他の人がこの脆弱性を使用していることに気づくよりもずっと前に作成されました。

OPは合法であり、彼はこの脆弱性に出くわし、それから彼は私の話に出くわし、話をするために私に手を伸ばし、記録に行くことに同意しました。

私が私の情報源を保護していることを知っているので、彼はこれをしました。

常に持っている、常にします。

OPは、真夜中の締め切り直前にFCC.govのWebサイトにコメントしていましたが、コメントを投稿する前にファイルにURLを割り当てていることに気付きました。

ほとんどの人が使用している「エクスプレス」コメントファイリングシステムでは、ファイルを添付することができず、より「堅牢な」ファイリング機能を使用していました。
FCC.govコメントUI

OPはNet Neutralityに腹を立て、今では不滅の文を含むドキュメントを作成し、FCCにアップロードすることにしました。

OPは大学の20歳の学生であり、宿題から抜け出していたので、楽しいことをすることを決めました。彼はそれを愚かな冗談と見なし、物事が手に負えなくなる、または他の人が彼のリードに従うとは考えていませんでした。

彼はまた、だれも彼のPDFに気付かないと思いました。

また、OPはAPIキーを申請したことがないため、FCC.gov TOSに同意したことはなく、不正なコメントシステムを通じてURLを取得できたため、ハッキングは行わないとOPが考えていることに注意することも重要です。

これは絶対に真実です。FCCはどこにもTOSを強制しません。あらゆる種類のサービス規約に同意することなくこことここでサインアップできるので、OPはTOSを破壊しなかったようです。

OPは怖くて、多くの人が彼にこれを本当に心配させているので、PDFをアップロードするために実際には何もハッキングしなかったことに注目する価値があります。

この種の話はOPが心配しています。

OPはすでにEFFにアドバイスを求めて書かれていますが、大学を去って職業キャリアと就職のための面接を始めるために、彼はまさにこれに対する苦痛の世界に入ろうとしていると本当に信じています。

彼は誰もそれを見ないだろうと思ったので、彼はプライバシーの予防措置を取らなかった。

OPが愚かであることに私たち全員が同意できると思いますが、FCCウェブサイトの欠陥およびFCCのサイバーセキュリティの姿勢に大きな隙間があることで、指を交差させても誰も彼を厳しく罰することはありません。

OPは私たちに好意を与え、犯罪者が最初にそれを見つけられなかったことは幸運です。

スポンサー|リモートブラウザ分離ソリューションをお探しですか? WEBGAP、WEBGAPブラウザー分離のホーム、およびWEBGAPリモートブラウジングサービスをご覧ください。