Уязвимость позволяла удаленно выполнить код на устройствах на базе Windows.
ИБ-исследователю, который обнаружил уязвимость в программе мониторинга использования интернета британскими учащимися, поступили жалобы по поводу нарушения им авторских прав. Заммис Кларк (Zammis Clark), известный под псевдонимом Slipstream, выявил брешь в Impero Education Pro, которая могла стать причиной утечки персональных данных. Об этом рассказывает издание Torrent Freak.
Уязвимость позволяла удаленно выполнить код на устройствах на базе Windows. Доказательства существования бреши Slipstream опубликовал в своей учетной записи в Twitter. Эксперт отмечает, что не сразу известил разработчиков Impero Education Pro об уязвимости. Специалист не был уверен, кому именно необходимо отправить отчет о бреши, поэтому решил предоставить ее описание в открытом доступе.
Представители Impero Education Pro вскоре сообщили о том, что уже выпустили обновления, исправляющие уязвимость в продукте, и начали тесно сотрудничать с Slipstream для дальнейшей работы в области безопасности.
Несмотря на выпущенные обновления, Slipstream утверждает, что они не были достаточно эффективными. В ходе переговоров с компанией, занимающейся производством Impero Education Pro, эксперт детально описал, как злоумышленники могут проэксплуатировать брешь и как именно необходимо устранить проблему. Вероятнее всего, претензии Slipstream не понравились компании, и вскоре исследователь получил юридическое предупреждение.
В документе было сказано, что Slipstream нарушил договор с компанией, изменив программное обеспечение без разрешения клиента, а также без разрешения опубликовав информацию о ПО. По мнению юристов компании, действия Slipstream нанесли фирме моральный и материальный ущерб. «Опубликовав ключ шифрования и важные конфиденциальные данные в интернете и социальных сетях, вы позволили любому нарушить безопасность ПО наших клиентов и записать деструктивные файлы, подорвав безопасность и работу множества систем по всей Великобритании», - заявили представители компании. Юристы фирмы предложили Slipstream удалить все данные об уязвимости из соцсетей и Github для того, чтобы смягчить претензии. Однако эксперт до сих пор этого не сделал и утверждает, что знает исследователей, которые обнаружили еще две уязвимости в Impero Education Pro.
Гравитация научных фактов сильнее, чем вы думаете