John Jackson (Hacker)

Sicherheitsforscher

John Jackson (* 1994 oder 1995),[1] auch bekannt als Mr. Hacking, ist ein Sicherheitsforscher und Gründer der White Hat Hacker Gruppe Sakura Samurai.

John Jackson (hacker)

Leben und Karriere

Bearbeiten

Jackson diente von 2012 bis 2017 im Marine Corps, wo er als Petroleum Engineer und Logistikmanager tätig war. Nach einer Verletzung wurde er aus dem Militärdienst entlassen und begann, das Zertifizierungs-Bootcamp von LeaderQuest Colorado zu besuchen. Nachdem er bei LeaderQuest gelernt und sich selbst weitergebildet hatte, erwarb er mehrere Cybersicherheitszertifikate, darunter ITIL, CompTIA A+ und Security+ sowie EC-Council Certified Network Defender (CND) und Certified Ethical Hacker (CEH).[2]

Jacksons erster Job im Bereich Cybersicherheit war bei Staples als Endpoint Detection und Response Engineer. Von 2019 bis 2021 war Jackson dann als Application Security Engineer bei Shutterstock tätig, wo er sich um die Sicherheit der Webanwendungen kümmerte, das Bug Bounty-Programm verwaltete und die statischen und dynamischen Tools für die Anwendungssicherheit verwaltete. Während seiner Tätigkeit bei Shutterstock arbeitete er auch als Penetrationstester bei 1337 Inc. und ging in seiner Freizeit auf Bug Bounty-Jagd.

Unabhängige Recherche

Bearbeiten

Im März 2020 veröffentlichte Jackson einen Blogbeitrag über eine Sicherheitslücke, die er in der Talkspace-App für psychische Gesundheit entdeckt hatte, nachdem er das Unternehmen über das Problem informiert hatte und entlassen wurde. Talkspace schickte ihm kurz nach der Veröffentlichung des Beitrags eine Unterlassungserklärung, was TechCrunch als "nur das jüngste Beispiel für Sicherheitsforscher, die wegen ihrer Arbeit mit rechtlichen Drohungen konfrontiert werden" bezeichnete.[3]

Im November 2020 entdeckten Jackson und der Forscher Sick.Codes zwei Sicherheitslücken in Fernsehgeräten der Marke TCL. Die erste würde es Angreifern im benachbarten Netzwerk ermöglichen, auf die meisten Systemdateien zuzugreifen, was zur Offenlegung kritischer Informationen führen könnte. Die zweite würde es Angreifern ermöglichen, Dateien in den Ressourcenverzeichnissen der Hersteller zu lesen und zu schreiben, was die Ausführung von beliebigem Code oder die Kompromittierung anderer Systeme im Netzwerk ermöglichen könnte. Nachdem Jackson und Sick.Codes die Schwachstelle an TCL gemeldet hatten, stellte TCL einen Patch bereit. Jackson und sein Forschungspartner gaben jedoch zu bedenken, dass die Behebung der Schwachstelle Anlass zu weiteren Bedenken gab, da es keine Benachrichtigung über die Aktualisierung der Software gab und TCL offenbar die volle Kontrolle über das Gerät hatte. Die Sicherheitslücke wurde in den Medien als "chinesische Hintertür"[4] bezeichnet. In einer Rede vor der Heritage Foundation im Dezember 2021 erklärte der amtierende Sekretär des Heimatschutzministeriums, Chad Wolf, dass seine Behörde die Sicherheitslücke untersuche, weil er befürchte, dass der chinesische Hersteller die Nutzer für "Cyberverletzungen und Datenexfiltration" ausgenutzt hat.[5]

Ebenfalls im November 2020 fand Jackson eine Sicherheitslücke in einer beliebten JavaScript-Bibliothek, die auf npm[6][7] veröffentlicht wurde. Im März 2021 entdeckten Jackson und andere Forscher einen ähnlichen Fehler in einem Paket, das von rund 278.000 Software-Projekten verwendet wird. Der Fehler existierte bereits seit mehr als neun Jahren[8][9]. Im April 2021 entdeckte die Gruppe, dass derselbe Fehler in der Standardbibliothek von Python existierte und auch andere Sprachen wie Perl, Go und Rust betroffen waren.[10][11][12]

Im Dezember 2020 meldeten Jackson und Nick Sahler, dass sie sich Zugang zu einer großen Menge sensibler Daten der Kinderwebseite Neopets verschafft hatten. Zu den Daten gehörten Anmeldedaten, E-Mails von Mitarbeitern und der Quellcode der Webseite.[13]

Im September 2021 veröffentlichten Jackson und Sick.Codes eine Schwachstelle, die sie in Gurocks Testmanagement-Tool TestRail gefunden hatten. Durch eine unsachgemäße Zugriffskontrolle war es möglich, auf eine Liste von Anwendungsdateien und Dateipfaden zuzugreifen, wodurch sensible Daten wie hartkodierte Anmeldedaten oder API-Schlüssel offengelegt werden konnten.[14]

Sakura Samurai

Bearbeiten

Im Jahr 2020 gründeten Jackson und Nick Sahler Sakura Samurai, eine White-Hat-Hacking- und Sicherheitsforschungsgruppe. Weitere aktuelle und ehemalige Mitglieder der Gruppe sind Robert Willis, Aubrey Cottle und Higinio Ochoa.[1]

Im Januar 2021 berichteten Jackson und andere Mitglieder von Sakura Samurai öffentlich, dass sie ungeschützte Git-Verzeichnisse und Git-Anmeldedateien auf Domänen entdeckt hatten, die zu zwei Gruppen innerhalb der Vereinten Nationen gehörten. Durch die Sicherheitslücke wurden mehr als 100.000 private Mitarbeiterdaten offengelegt.[15][16]

Im März 2021 veröffentlichten Jackson und andere Mitglieder der Gruppe Sicherheitslücken, die 27 Gruppen innerhalb der indischen Regierung betrafen. Nachdem sie ungeschützte Git- und Konfigurationsverzeichnisse gefunden hatten, war Sakura Samurai in der Lage, auf Anmeldeinformationen für wichtige Anwendungen, mehr als 13.000 Personalakten, Polizeiberichte und andere Daten zuzugreifen. Die Gruppe entdeckte auch Schwachstellen im Zusammenhang mit Session Hijacking und der Ausführung von beliebigem Code in finanzbezogenen Regierungssystemen.[17] Nachdem die an das indische National Critical Information Infrastructure Protection Centre gemeldeten Probleme mehrere Wochen lang nicht behoben wurden, schaltete Sakura Samura das U.S. Department of Defense Vulnerability Disclosure Program ein, und die Probleme wurden behoben.[18]

Jackson und andere Mitglieder von Sakura Samurai fanden eine Schwachstelle in der Unternehmenssoftware Pega Infinity von Pegasystems, die für Customer Engagement und digitale Prozessautomatisierung eingesetzt wird. Die Schwachstelle, die Pegasystems erstmals im Februar 2021 gemeldet wurde, betraf eine mögliche Fehlkonfiguration, die die Offenlegung von Daten ermöglicht[19]. Die Schwachstelle führte dazu, dass die Forscher in die Systeme der Ford Motor Company und von John Deere eindrangen. Diese Vorfälle wurden im August 2021 öffentlich bekannt gegeben.[20][21]

Jackson und andere Mitglieder von Sakura Samurai haben auch bemerkenswerte Schwachstellen im Zusammenhang mit Organisationen und Software wie Apache Velocity, Keybase und Fermilab gemeldet.[22][23][24]

Literatur

Bearbeiten
  • John Jackson: Corporate Cybersecurity: Identifying Risks and the Bug Bounty Program. Wiley, 2021, ISBN 978-1-119-78252-0.
Bearbeiten

Einzelnachweise

Bearbeiten
  1. a b John Jackson: Episode 200: Sakura Samurai Wants To Make Hacking Groups Cool Again. And: Automating Our Way Out of PKI Chaos. In: The Security Ledger with Paul F. Roberts. 22. Januar 2021, abgerufen am 26. September 2021 (amerikanisches Englisch).
  2. John Jackson. Interview von Ricki Burke. United States Marine to Application Security Engineer, with John Jackson. In: Hacking into Security. (Podcast). 31. Oktober 2020. (englisch)
  3. Zack Whittaker: Talkspace threatens to sue a researcher over bug report. In: TechCrunch. 9. März 2020, abgerufen am 26. September 2021 (amerikanisches Englisch).
  4. Paul Wagenseil: TCL Android TVs may have 'Chinese backdoor' — protect yourself now (Update). In: Tom's Guide. 16. November 2020, abgerufen am 27. September 2021 (englisch).
  5. Paul Wagenseil: Department of Homeland Security: China using TCL TVs to spy on Americans. In: Tom's Guide. 23. Dezember 2021, abgerufen am 26. September 2021 (englisch).
  6. Jonathan Bennett: This Week In Security: IOS Wifi Incantations, Ghosts, And Bad Regex. In: Hackaday. 4. Dezember 2020, abgerufen am 26. September 2021 (amerikanisches Englisch).
  7. Paul Roberts: Exploitable Flaw in NPM Private IP App Lurks Everywhere, Anywhere. In: The Security Ledger with Paul F. Roberts. 25. November 2021, abgerufen am 26. September 2021 (amerikanisches Englisch).
  8. Adam Bannister: SSRF vulnerability in NPM package Netmask impacts up to 279k projects. In: The Daily Swig. 29. März 2021, abgerufen am 26. September 2021 (englisch).
  9. Richard Speed: Sitting comfortably? Then it's probably time to patch, as critical flaw uncovered in npm's netmask package. In: The Register. 29. März 2021, abgerufen am 26. September 2021 (englisch).
  10. Ax Sharma: Python also impacted by critical IP address validation vulnerability. In: BleepingComputer. 1. Mai 2021, abgerufen am 26. September 2021 (amerikanisches Englisch).
  11. Ax Sharma: Critical netmask networking bug impacts thousands of applications. In: BleepingComputer. 28. März 2021, abgerufen am 26. September 2021 (amerikanisches Englisch).
  12. Ax Sharma: Go, Rust "net" library affected by critical IP address validation vulnerability. In: BleepingComputer. 7. August 2021, abgerufen am 26. September 2021 (amerikanisches Englisch).
  13. Paul Roberts: Update: Neopets Is Still A Thing And Its Exposing Sensitive Data. In: The Security Ledger with Paul F. Roberts. 28. Dezember 2021, abgerufen am 26. September 2021 (amerikanisches Englisch).
  14. Bill Toulas: Researchers Discover Remotely Exploitable Flaw Resulting in File Exposure on Gurock TestRail. In: TechNadu. 22. September 2021, abgerufen am 8. Oktober 2021 (amerikanisches Englisch).
  15. Duncan Riley: United Nations data breach exposes details of more than 100,000 employees. In: SiliconANGLE. 11. Januar 2021, abgerufen am 12. August 2021.
  16. Anthony Spadafora: United Nations suffers major data breach. In: TechRadar. 11. Januar 2021, abgerufen am 26. September 2021 (englisch).
  17. Ax Sharma: Researchers hacked Indian govt sites via exposed git and env files In: BleepingComputer, 12. März 2021. Abgerufen am 26. September 2021 (amerikanisches Englisch). 
  18. Shayak Majumder: Government-Run Web Services Found to Have Major Vulnerabilities: Reports In: NDTV-Gadgets 360, 22. Februar 2021. Abgerufen am 16. August 2021 (englisch). 
  19. NVD – CVE-2021-27653. In: nvd.nist.gov. Abgerufen am 12. August 2021.
  20. Ax Sharma: Ford bug exposed customer and employee records from internal systems. In: BleepingComputer. 15. August 2021, abgerufen am 26. September 2021 (amerikanisches Englisch).
  21. Becky Bracken: Connected Farms Easy Pickings for Global Food Supply-Chain Hack. In: ThreatPost. 10. August 2021, abgerufen am 26. September 2021 (englisch).
  22. Ax Sharma: Undisclosed Apache Velocity XSS vulnerability impacts GOV sites In: BleepingComputer, 15. Januar 2021. Abgerufen am 16. August 2021 (amerikanisches Englisch). 
  23. Charlie Osborne: Keybase patches bug that kept pictures in cleartext storage on Mac, Windows clients In: ZDNet, 23. Februar 2021. Abgerufen am 16. August 2021 (englisch). 
  24. Ax Sharma: US physics lab Fermilab exposes proprietary data for all to see In: Ars Technica, 6. Mai 2021. Abgerufen am 26. September 2021 (amerikanisches Englisch).