존 잭슨(해커)
John Jackson (hacker)존 잭슨 | |
|---|---|
 | |
| 태어난 | 1994/1994년(27~[1]28세) |
| 기타 이름 | 미스터 해킹 |
| 직종. | 해커 및 보안 연구자 |
| 로 알려져 있다 | 사쿠라 사무라이 |
| 웹 사이트 | johnjhacking |
미스터 해킹으로도 알려진 존 잭슨(1994년 또는 [1]1995년 출생)은 미국의 보안 연구원이자 화이트햇 해킹 그룹 사쿠라 사무라이의 창립자이다.
초기 경력 및 교육
잭슨은 2012년부터 2017년까지 해병대에서 근무했으며, 그곳에서 석유 엔지니어이자 물류 매니저로 일했다.그는 부상을 입고 군에서 제대했고, 리더퀘스트 콜로라도 인증 신병 훈련소에 다니기 시작했다.LeaderQuest에서 공부하고 독학한 후 ITIL, Comp, Comp 등 여러 사이버 보안 자격증을 취득했습니다.TIA A+ 및 Security+, EC-Council Certified Network Defender(CND) 및 Certified Ethical Hacker(CEH;[2] 인증 윤리적 해커)입니다.
직업
잭슨의 첫 번째 사이버 보안 업무는 엔드포인트 탐지 및 대응 엔지니어인 Staples였습니다.Jackson은 이후 2019년부터 2021년까지 Shutterstock에서 애플리케이션 보안 엔지니어로 근무하며 웹 애플리케이션의 보안 유지, 버그 보상 프로그램 관리, 정적 및 동적 애플리케이션 보안 테스트 도구 관리에 종사했습니다.Shutterstock에 근무하면서, 1337 Inc.에서 침투 테스터로 일했고,[2] 여가 시간에 버그 바운티 사냥을 했다.
독자적인 연구
2020년 3월 잭슨은 Talkspace 정신건강 앱에서 발견한 취약성에 대한 블로그 투고를 회사에 알린 후 해고당했다.Talkspace는 투고가 발표된 직후 그에게 중지 및 폐지 서한을 보냈으며, TechCrunch는 "보안 연구원들이 그들의 [3]업무에 대한 법적 위협에 직면한 가장 최근의 사례"라고 설명했다.
2020년 11월 잭슨과 사이크 연구원이었다.코드는 TCL 브랜드 TV에서 두 가지 취약성을 발견했습니다.첫 번째는 인접 네트워크상의 공격자가 대부분의 시스템파일에 액세스 할 수 있게 되어 중요한 정보가 공개될 가능성이 있습니다.두 번째는 공격자가 벤더 리소스 디렉토리의 파일을 읽고 쓸 수 있도록 하기 때문에 임의 코드를 실행하거나 네트워크상의 다른 시스템을 손상시킬 수 있습니다.잭슨과 시크 다음으로.코드는 TCL에 취약성을 보고하고 TCL은 패치를 도입했습니다.다만, Jackson과 그의 연구자 파트너는 이 수정으로 인해 소프트웨어가 업데이트되었다는 통지가 없었고 [4][5][6]TCL이 디바이스를 완전히 제어할 수 있는 것으로 보인다고 말했습니다.이 취약성은 언론에서 "Chinese backdoor"[5]로 표현되었습니다.2021년 12월 국토안보부 장관 대행인 채드 울프는 헤리티지 재단에 행한 연설에서 중국 제조업체가 "사이버 침해와 데이터 유출에 사용자를 노출시킬 수 있다"[7]는 우려로 인해 그의 기관이 이 취약성을 조사하고 있다고 말했다.
또, 2020년 11월에, 잭슨은 서버측의 요구 위조 취약성을 발견했습니다.private-ipnpm에 [8][9]공개되는 인기 JavaScript 라이브러리.2021년 3월, 잭슨과 다른 연구원들은 비슷한 곤충을 발견했다.netmask약 278,000개의 소프트웨어 프로젝트에서 사용되는 패키지입니다.그 벌레는 9년 [10][11]이상 존재했었다.2021년 4월, 이 그룹은 파이썬에 동일한 결함이 존재한다는 것을 발견했다. ipaddress 더 넓게는 Perl, Go, [12][13][14]Rust와 같은 다른 언어에 영향을 미치고 있습니다.
2020년 12월, 잭슨과 닉 샐러는 어린이 웹사이트 네오펫과 관련된 많은 양의 민감한 데이터에 접근할 수 있었다고 보고했다.데이터에는 데이터베이스 자격 증명, 직원 이메일 및 웹 사이트 소스 [15]코드가 포함되어 있습니다.
2021년 9월 잭슨 앤 시크코드는 Gurock의 테스트 관리 도구 TestRail에서 발견된 취약성을 공개했습니다.이 취약성은 부적절한 액세스 제어로 인해 애플리케이션 파일 및 파일 경로 목록에 액세스할 수 있게 되어 하드코드된 자격 증명이나 API [16]키 등의 기밀 데이터가 노출될 수 있습니다.
사쿠라 사무라이
2020년 잭슨과 닉 샐러는 화이트햇 해킹 및 보안 연구 그룹인 사쿠라 사무라이를 설립했다.이 그룹의 다른 현재와 전 멤버로는 로버트 윌리스, 오브리 코틀, 히지니오 오초아가 [1]있다.
2021년 1월, 잭슨과 사쿠라 사무라이의 다른 멤버들은 그들이 유엔 내 두 그룹에 속한 도메인에서 노출된 git 디렉토리와 git credential 파일을 발견했다고 공개적으로 보고했다.이 취약성으로 인해 10만 명 이상의 개인 직원 [17][18]기록이 노출되었습니다.
2021년 3월 잭슨과 다른 그룹은 인도 정부 내 27개 그룹에 영향을 미치는 취약성을 공개했습니다.Sakura Samuria는 노출된 Git 및 구성 디렉토리를 찾은 후 중요한 애플리케이션, 13,000개 이상의 개인 기록, 경찰 보고서 및 기타 데이터에 대한 자격 증명에 액세스할 수 있었습니다.이 그룹은 또한 금융 관련 정부 [19]시스템에서 세션 하이잭 및 임의 코드 실행과 관련된 취약성을 발견했습니다.인도의 국가 중요 정보 인프라 보호 센터에 보고된 문제가 몇 주 동안 해결되지 않은 후, 사쿠라 사무라는 미국 국방부 취약성 공개 프로그램에 참여했고,[20][19] 이 문제는 수정되었습니다.
잭슨과 다른 사쿠라 사무라이 멤버들은 Pegasystems의 Pega Infinity 엔터프라이즈 소프트웨어 스위트의 취약성을 발견했는데, 이 소프트웨어 스위트는 고객 참여 및 디지털 프로세스 자동화에 사용됩니다.2021년 2월에 Pegasystems에 처음 보고된 이 취약성은 데이터 [21]노출을 가능하게 하는 잘못된 구성과 관련이 있습니다.이 취약성으로 인해 연구자들은 2021년 [22][23]8월에 공개된 포드 자동차 회사와 존 디어 모두의 시스템을 위반하게 되었습니다.
잭슨과 사쿠라 사무라이의 다른 멤버들도 Apache Velocity, Keybase, Fermilab [24][25][26]등의 조직과 소프트웨어와 관련된 현저한 취약성을 보고하고 있습니다.
출판물
- Jackson, John (December 1, 2021). Corporate Cybersecurity: Identifying Risks and the Bug Bounty Program. Wiley. ISBN 978-1119782520.
레퍼런스
- ^ a b c Jackson, John (January 22, 2021). "Episode 200: Sakura Samurai Wants To Make Hacking Groups Cool Again. And: Automating Our Way Out of PKI Chaos". The Security Ledger with Paul F. Roberts. Retrieved September 26, 2021.
{{cite web}}: CS1 maint :url-status (링크) - ^ a b Jackson, John (October 31, 2020). "United States Marine to Application Security Engineer, with John Jackson". Hacking into Security (Podcast). Interviewed by Ricki Burke.
- ^ Whittaker, Zack (March 9, 2020). "Talkspace threatens to sue a researcher over bug report". TechCrunch. Retrieved September 26, 2021.
{{cite web}}: CS1 maint :url-status (링크) - ^ Roberts, Paul (November 12, 2021). "Security Holes Opened Back Door To TCL Android Smart TVs". The Security Ledger with Paul F. Roberts. Retrieved September 26, 2021.
{{cite web}}: CS1 maint :url-status (링크) - ^ a b Wagenseil, Paul (November 16, 2020). "TCL Android TVs may have 'Chinese backdoor' — protect yourself now (Update)". Tom's Guide. Retrieved 2021-09-27.
{{cite web}}: CS1 maint :url-status (링크) - ^ Vincent, Brittany (November 18, 2020). "Report: Researchers Find 'Backdoor' Security Flaw in TCL Smart TVs". PCMag. Retrieved September 26, 2021.
{{cite web}}: CS1 maint :url-status (링크) - ^ Wagenseil, Paul (December 23, 2021). "Department of Homeland Security: China using TCL TVs to spy on Americans". Tom's Guide. Retrieved September 26, 2021.
{{cite web}}: CS1 maint :url-status (링크) - ^ Bennett, Jonathan (December 4, 2020). "This Week In Security: IOS Wifi Incantations, Ghosts, And Bad Regex". Hackaday. Retrieved September 26, 2021.
{{cite web}}: CS1 maint :url-status (링크) - ^ Roberts, Paul (November 25, 2021). "Exploitable Flaw in NPM Private IP App Lurks Everywhere, Anywhere". The Security Ledger with Paul F. Roberts. Retrieved September 26, 2021.
{{cite web}}: CS1 maint :url-status (링크) - ^ Bannister, Adam (March 29, 2021). "SSRF vulnerability in NPM package Netmask impacts up to 279k projects". The Daily Swig. Retrieved September 26, 2021.
{{cite web}}: CS1 maint :url-status (링크) - ^ Speed, Richard (March 29, 2021). "Sitting comfortably? Then it's probably time to patch, as critical flaw uncovered in npm's netmask package". The Register. Retrieved September 26, 2021.
{{cite web}}: CS1 maint :url-status (링크) - ^ Sharma, Ax (May 1, 2021). "Python also impacted by critical IP address validation vulnerability". BleepingComputer. Retrieved September 26, 2021.
{{cite web}}: CS1 maint :url-status (링크) - ^ Sharma, Ax (March 28, 2021). "Critical netmask networking bug impacts thousands of applications". BleepingComputer. Retrieved September 26, 2021.
{{cite web}}: CS1 maint :url-status (링크) - ^ Sharma, Ax (August 7, 2021). "Go, Rust "net" library affected by critical IP address validation vulnerability". BleepingComputer. Retrieved September 26, 2021.
{{cite web}}: CS1 maint :url-status (링크) - ^ Roberts, Paul (December 28, 2021). "Update: Neopets Is Still A Thing And Its Exposing Sensitive Data". The Security Ledger with Paul F. Roberts. Retrieved September 26, 2021.
{{cite web}}: CS1 maint :url-status (링크) - ^ Toulas, Bill (September 22, 2021). "Researchers Discover Remotely Exploitable Flaw Resulting in File Exposure on Gurock TestRail". TechNadu. Retrieved October 8, 2021.
{{cite web}}: CS1 maint :url-status (링크) - ^ Riley, Duncan (January 11, 2021). "United Nations data breach exposes details of more than 100,000 employees". SiliconANGLE. Retrieved August 12, 2021.
{{cite web}}: CS1 maint :url-status (링크) - ^ Spadafora, Anthony (January 11, 2021). "United Nations suffers major data breach". TechRadar. Retrieved September 26, 2021.
{{cite web}}: CS1 maint :url-status (링크) - ^ a b Sharma, Ax (March 12, 2021). "Researchers hacked Indian govt sites via exposed git and env files". BleepingComputer. Retrieved September 26, 2021.
- ^ Majumder, Shayak (22 February 2021). "Government-Run Web Services Found to Have Major Vulnerabilities: Reports". NDTV-Gadgets 360. Retrieved 16 August 2021.
- ^ "NVD – CVE-2021-27653". nvd.nist.gov. Retrieved 12 August 2021.
- ^ Sharma, Ax (August 15, 2021). "Ford bug exposed customer and employee records from internal systems". BleepingComputer. Retrieved September 26, 2021.
{{cite web}}: CS1 maint :url-status (링크) - ^ Bracken, Becky (August 10, 2021). "Connected Farms Easy Pickings for Global Food Supply-Chain Hack". ThreatPost. Retrieved September 26, 2021.
{{cite web}}: CS1 maint :url-status (링크) - ^ Sharma, Ax (15 January 2021). "Undisclosed Apache Velocity XSS vulnerability impacts GOV sites". BleepingComputer. Retrieved 16 August 2021.
- ^ Osborne, Charlie (23 February 2021). "Keybase patches bug that kept pictures in cleartext storage on Mac, Windows clients". ZDNet. Retrieved 16 August 2021.
- ^ Sharma, Ax (May 6, 2021). "US physics lab Fermilab exposes proprietary data for all to see". Ars Technica. Retrieved September 26, 2021.
