John Jackson (Hacker)

2023-04-19T17:31:54Z

Johnjhacking: Deletion Request, self.

{{delete|concern=I'm trying to work on my privacy and would like a deletion. The English version was already deleted.}}

{{Infobox
| Titel = John Jackson (hacker)
| Bildname = John Jackson the founder of Sakura Samurai.jpg
}}

'''John Jackson''' (* 1994 oder 1995),<ref name=":02" /> auch bekannt als '''Mr. Hacking''', ist ein Sicherheitsforscher und Gründer der [[Hacker (Computersicherheit)|White Hat]] Hacker Gruppe [[Sakura Samurai (Gruppe)|Sakura Samurai]].

== Leben und Karriere ==
Jackson diente von 2012 bis 2017 im [[United States Marine Corps|Marine Corps]], wo er als Petroleum Engineer und Logistikmanager tätig war. Nach einer Verletzung wurde er aus dem Militärdienst entlassen und begann, das Zertifizierungs-Bootcamp von LeaderQuest Colorado zu besuchen. Nachdem er bei LeaderQuest gelernt und sich selbst weitergebildet hatte, erwarb er mehrere Cybersicherheitszertifikate, darunter [[ITIL]], [[CompTIA]] A+ und Security+ sowie EC-Council Certified Network Defender (CND) und Certified Ethical Hacker (CEH).<ref name=":0">{{Cite interview|last=Jackson|first=John|interviewer=Ricki Burke|title=United States Marine to Application Security Engineer, with John Jackson|type=Podcast|url=https://www.audible.com/pd/Hacking-into-Security-31-United-States-Marine-to-Application-Security-Engineer-with-John-Jackson-Podcast/B08L29M133|work=Hacking into Security|date=2020-10-31}}</ref>

Jacksons erster Job im Bereich Cybersicherheit war bei [[Staples]] als [[Endpoint Detection und Response]] Engineer. Von 2019 bis 2021 war Jackson dann als Application Security Engineer bei [[Shutterstock]] tätig, wo er sich um die Sicherheit der Webanwendungen kümmerte, das [[Bug-Bounty-Programm|Bug Bounty-Programm]] verwaltete und die statischen und dynamischen Tools für die Anwendungssicherheit verwaltete. Während seiner Tätigkeit bei Shutterstock arbeitete er auch als Penetrationstester bei 1337 Inc. und ging in seiner Freizeit auf Bug Bounty-Jagd.

=== Unabhängige Recherche ===
Im März 2020 veröffentlichte Jackson einen Blogbeitrag über eine Sicherheitslücke, die er in der Talkspace-App für psychische Gesundheit entdeckt hatte, nachdem er das Unternehmen über das Problem informiert hatte und entlassen wurde. Talkspace schickte ihm kurz nach der Veröffentlichung des Beitrags eine Unterlassungserklärung, was [[TechCrunch]] als "nur das jüngste Beispiel für Sicherheitsforscher, die wegen ihrer Arbeit mit rechtlichen Drohungen konfrontiert werden" bezeichnete.<ref>{{Cite web|last=Whittaker|first=Zack|date=2020-03-09|title=Talkspace threatens to sue a researcher over bug report|url=https://social.techcrunch.com/2020/03/09/talkspace-cease-desist/|url-status=live|access-date=2021-09-26|website=[[TechCrunch]]|language=en-US}}</ref>

Im November 2020 entdeckten Jackson und der Forscher Sick.Codes zwei Sicherheitslücken in Fernsehgeräten der Marke [[TCL Corporation|TCL]]. Die erste würde es Angreifern im benachbarten Netzwerk ermöglichen, auf die meisten Systemdateien zuzugreifen, was zur Offenlegung kritischer Informationen führen könnte. Die zweite würde es Angreifern ermöglichen, Dateien in den Ressourcenverzeichnissen der Hersteller zu lesen und zu schreiben, was die Ausführung von beliebigem Code oder die Kompromittierung anderer Systeme im Netzwerk ermöglichen könnte. Nachdem Jackson und Sick.Codes die Schwachstelle an TCL gemeldet hatten, stellte TCL einen Patch bereit. Jackson und sein Forschungspartner gaben jedoch zu bedenken, dass die Behebung der Schwachstelle Anlass zu weiteren Bedenken gab, da es keine Benachrichtigung über die Aktualisierung der Software gab und TCL offenbar die volle Kontrolle über das Gerät hatte. Die Sicherheitslücke wurde in den Medien als "chinesische Hintertür"<ref name=":1">{{Cite web|url=https://www.tomsguide.com/uk/news/tcl-smart-tv-security-flaws|title=TCL Android TVs may have 'Chinese backdoor' — protect yourself now (Update)|date=2020-11-16|last=Wagenseil|first=Paul|website=[[Tom's Guide]]|language=en|url-status=live|access-date=2021-09-27}}</ref> bezeichnet. In einer Rede vor der [[Heritage Foundation]] im Dezember 2021 erklärte der amtierende Sekretär des [[Ministerium für Innere Sicherheit der Vereinigten Staaten|Heimatschutzministeriums]], [[Chad Wolf]], dass seine Behörde die Sicherheitslücke untersuche, weil er befürchte, dass der chinesische Hersteller die Nutzer für "Cyberverletzungen und Datenexfiltration" ausgenutzt hat.<ref>{{Cite web|last=Wagenseil|first=Paul|date=2021-12-23|title=Department of Homeland Security: China using TCL TVs to spy on Americans|url=https://www.tomsguide.com/news/tcl-wolf-dhs-china-bashing|url-status=live|access-date=2021-09-26|website=[[Tom's Guide]]|language=en}}</ref>

Ebenfalls im November 2020 fand Jackson eine Sicherheitslücke in einer beliebten [[JavaScript]]-Bibliothek, die auf [[Npm (Software)|npm]]<ref>{{Cite web|last=Bennett|first=Jonathan|date=2020-12-04|title=This Week In Security: IOS Wifi Incantations, Ghosts, And Bad Regex|url=https://hackaday.com/2020/12/04/this-week-in-security-ios-wifi-incantations-ghosts-and-bad-regex/|url-status=live|access-date=2021-09-26|website=[[Hackaday]]|language=en-US}}</ref><ref>{{Cite web|last=Roberts|first=Paul|date=2021-11-25|title=Exploitable Flaw in NPM Private IP App Lurks Everywhere, Anywhere|url=https://securityledger.com/2020/11/exploitable-flaw-in-npm-private-ip-app-lurks-everywhere-anywhere/|url-status=live|access-date=2021-09-26|website=The Security Ledger with Paul F. Roberts|language=en-US}}</ref> veröffentlicht wurde. Im März 2021 entdeckten Jackson und andere Forscher einen ähnlichen Fehler in einem Paket, das von rund 278.000 Software-Projekten verwendet wird. Der Fehler existierte bereits seit mehr als neun Jahren<ref>{{Cite web|last=Bannister|first=Adam|date=2021-03-29|title=SSRF vulnerability in NPM package Netmask impacts up to 279k projects|url=https://portswigger.net/daily-swig/ssrf-vulnerability-in-npm-package-netmask-impacts-up-to-279k-projects|url-status=live|access-date=2021-09-26|website=The Daily Swig|language=en}}</ref><ref>{{Cite web|last=Speed|first=Richard|date=2021-03-29|title=Sitting comfortably? Then it's probably time to patch, as critical flaw uncovered in npm's netmask package|url=https://www.theregister.com/2021/03/29/netmask_cve/|url-status=live|access-date=2021-09-26|website=[[The Register]]|language=en}}</ref>. Im April 2021 entdeckte die Gruppe, dass derselbe Fehler in der Standardbibliothek von [[Python (Programmiersprache)|Python]] existierte und auch andere Sprachen wie [[Perl (Programmiersprache)|Perl]], Go und [[Rust (Programmiersprache)|Rust]] betroffen waren.<ref>{{Cite web|last=Sharma|first=Ax|date=2021-05-01|title=Python also impacted by critical IP address validation vulnerability|url=https://www.bleepingcomputer.com/news/security/python-also-impacted-by-critical-ip-address-validation-vulnerability/|url-status=live|access-date=2021-09-26|website=[[BleepingComputer]]|language=en-us}}</ref><ref>{{Cite web|last=Sharma|first=Ax|date=2021-03-28|title=Critical netmask networking bug impacts thousands of applications|url=https://www.bleepingcomputer.com/news/security/critical-netmask-networking-bug-impacts-thousands-of-applications/|url-status=live|access-date=2021-09-26|website=[[BleepingComputer]]|language=en-us}}</ref><ref>{{Cite web|last=Sharma|first=Ax|date=2021-08-07|title=Go, Rust "net" library affected by critical IP address validation vulnerability|url=https://www.bleepingcomputer.com/news/security/go-rust-net-library-affected-by-critical-ip-address-validation-vulnerability/|url-status=live|access-date=2021-09-26|website=[[BleepingComputer]]|language=en-us}}</ref>

Im Dezember 2020 meldeten Jackson und Nick Sahler, dass sie sich Zugang zu einer großen Menge sensibler Daten der Kinderwebseite Neopets verschafft hatten. Zu den Daten gehörten Anmeldedaten, E-Mails von Mitarbeitern und der [[Quelltext|Quellcode]] der Webseite.<ref>{{Cite web|last=Roberts|first=Paul|date=2021-12-28|title=Update: Neopets Is Still A Thing And Its Exposing Sensitive Data|url=https://securityledger.com/2020/12/neopets-is-still-a-thing-and-its-exposing-sensitive-data/|url-status=live|access-date=2021-09-26|website=The Security Ledger with Paul F. Roberts|language=en-US}}</ref>

Im September 2021 veröffentlichten Jackson und Sick.Codes eine Schwachstelle, die sie in Gurocks Testmanagement-Tool TestRail gefunden hatten. Durch eine unsachgemäße Zugriffskontrolle war es möglich, auf eine Liste von Anwendungsdateien und Dateipfaden zuzugreifen, wodurch sensible Daten wie hartkodierte Anmeldedaten oder API-Schlüssel offengelegt werden konnten.<ref>{{Cite web|last=Toulas|first=Bill|date=2021-09-22|title=Researchers Discover Remotely Exploitable Flaw Resulting in File Exposure on Gurock TestRail|url=https://www.technadu.com/researchers-discover-remotely-exploitable-flaw-results-file-exposure-gurock-testrail/303186/|url-status=live|access-date=2021-10-08|website=TechNadu|language=en-US}}</ref>

== Sakura Samurai ==
Im Jahr 2020 gründeten Jackson und Nick Sahler '''Sakura Samurai''', eine White-Hat-Hacking- und Sicherheitsforschungsgruppe. Weitere aktuelle und ehemalige Mitglieder der Gruppe sind Robert Willis, Aubrey Cottle und Higinio Ochoa.<ref name=":02">{{Cite web|last=Jackson|first=John|date=2021-01-22|title=Episode 200: Sakura Samurai Wants To Make Hacking Groups Cool Again. And: Automating Our Way Out of PKI Chaos|url=https://securityledger.com/2021/01/episode-200-sakura-samurai-wants-to-make-hacking-groups-cool-again-and-automating-our-way-out-of-pki-chaos/|url-status=live|access-date=2021-09-26|website=The Security Ledger with Paul F. Roberts|language=en-US}}</ref>

Im Januar 2021 berichteten Jackson und andere Mitglieder von Sakura Samurai öffentlich, dass sie ungeschützte Git-Verzeichnisse und Git-Anmeldedateien auf [[Domänenspezifische Sprache|Domänen]] entdeckt hatten, die zu zwei Gruppen innerhalb der [[Vereinte Nationen|Vereinten Nationen]] gehörten. Durch die Sicherheitslücke wurden mehr als 100.000 private Mitarbeiterdaten offengelegt.<ref name="siliconangle">{{cite web|last=Riley|first=Duncan|date=2021-01-11|title=United Nations data breach exposes details of more than 100,000 employees|url=https://siliconangle.com/2021/01/11/united-nations-data-breach-exposes-details-100000-employees/|url-status=live|access-date=2021-08-12|website=SiliconANGLE}}</ref><ref name=":12">{{Cite web|last=Spadafora|first=Anthony|date=2021-01-11|title=United Nations suffers major data breach|url=https://www.techradar.com/news/united-nations-suffers-major-data-breach|url-status=live|access-date=2021-09-26|website=[[TechRadar]]|language=en}}</ref>

Im März 2021 veröffentlichten Jackson und andere Mitglieder der Gruppe Sicherheitslücken, die 27 Gruppen innerhalb der indischen Regierung betrafen. Nachdem sie ungeschützte [[Git|Git- und Konfigurationsverzeichnisse]] gefunden hatten, war Sakura Samurai in der Lage, auf Anmeldeinformationen für wichtige Anwendungen, mehr als 13.000 Personalakten, Polizeiberichte und andere Daten zuzugreifen. Die Gruppe entdeckte auch Schwachstellen im Zusammenhang mit [[Session Hijacking]] und der Ausführung von beliebigem Code in finanzbezogenen Regierungssystemen.<ref name=":22">{{cite news|last1=Sharma|first1=Ax|date=2021-03-12|title=Researchers hacked Indian govt sites via exposed git and env files|language=en-us|work=[[BleepingComputer]]|url=https://www.bleepingcomputer.com/news/security/researchers-hacked-indian-govt-sites-via-exposed-git-and-env-files/|access-date=2021-09-26}}</ref> Nachdem die an das indische National Critical Information Infrastructure Protection Centre gemeldeten Probleme mehrere Wochen lang nicht behoben wurden, schaltete Sakura Samura das [[Verteidigungsministerium der Vereinigten Staaten|U.S. Department of Defense Vulnerability Disclosure Program]] ein, und die Probleme wurden behoben.<ref>{{cite news|last1=Majumder|first1=Shayak|date=2021-02-22|title=Government-Run Web Services Found to Have Major Vulnerabilities: Reports|language=en|work=NDTV-Gadgets 360|url=https://gadgets.ndtv.com/internet/news/nciipc-cert-in-ncsc-india-government-web-services-critical-vulnerabilities-hack-breach-lapse-delay-response-fix-rajesh-pant-2376203|access-date=2021-08-16}}</ref>

Jackson und andere Mitglieder von Sakura Samurai fanden eine Schwachstelle in der Unternehmenssoftware Pega Infinity von Pegasystems, die für Customer Engagement und digitale Prozessautomatisierung eingesetzt wird. Die Schwachstelle, die Pegasystems erstmals im Februar 2021 gemeldet wurde, betraf eine mögliche Fehlkonfiguration, die die Offenlegung von Daten ermöglicht<ref name="nist">{{cite web|title=NVD – CVE-2021-27653|url=https://nvd.nist.gov/vuln/detail/CVE-2021-27653|access-date=2021-08-12|website=nvd.nist.gov}}</ref>. Die Schwachstelle führte dazu, dass die Forscher in die Systeme der [[Ford|Ford Motor Company]] und von [[John Deere]] eindrangen. Diese Vorfälle wurden im August 2021 öffentlich bekannt gegeben.<ref>{{Cite web|last=Sharma|first=Ax|date=2021-08-15|title=Ford bug exposed customer and employee records from internal systems|url=https://www.bleepingcomputer.com/news/security/ford-bug-exposed-customer-and-employee-records-from-internal-systems/|url-status=live|access-date=2021-09-26|website=[[BleepingComputer]]|language=en-us}}</ref><ref>{{Cite web|last=Bracken|first=Becky|date=2021-08-10|title=Connected Farms Easy Pickings for Global Food Supply-Chain Hack|url=https://threatpost.com/connected-farms-food-supply-chain-hack/168547/|url-status=live|access-date=2021-09-26|website=ThreatPost|language=en}}</ref>

Jackson und andere Mitglieder von Sakura Samurai haben auch bemerkenswerte Schwachstellen im Zusammenhang mit Organisationen und Software wie [[Apache OpenOffice|Apache]] [[Velocity]], Keybase und [[Fermi National Accelerator Laboratory|Fermilab]] gemeldet.<ref>{{cite news|last1=Sharma|first1=Ax|date=2021-01-15|title=Undisclosed Apache Velocity XSS vulnerability impacts GOV sites|language=en-us|work=BleepingComputer|url=https://www.bleepingcomputer.com/news/security/undisclosed-apache-velocity-xss-vulnerability-impacts-gov-sites/|access-date=2021-08-16}}</ref><ref>{{cite news|last1=Osborne|first1=Charlie|date=2021-02-23|title=Keybase patches bug that kept pictures in cleartext storage on Mac, Windows clients|language=en|work=ZDNet|url=https://www.zdnet.com/article/keybase-patches-bug-that-kept-pictures-in-cleartext-storage-on-mac-windows-clients/|access-date=2021-08-16}}</ref><ref>{{cite news|last=Sharma|first=Ax|date=2021-05-06|title=US physics lab Fermilab exposes proprietary data for all to see|language=en-us|work=[[Ars Technica]]|url=https://arstechnica.com/gadgets/2021/05/researchers-peek-into-proprietary-data-of-us-particle-physics-lab-fermilab/|access-date=2021-09-26}}</ref>

== Literatur ==

* {{Cite book|last=Jackson|first=John|title=Corporate Cybersecurity: Identifying Risks and the Bug Bounty Program|date=2021-12-01|publisher=Wiley|isbn=978-1119782520}}

== Weblinks ==

* Offizielle Webseite von [https://johnjhacking.com/ John Jackson]

== Einzelnachweise ==
<references />

{{SORTIERUNG:Jackson, John}}
[[Kategorie:Hacker (Programmierersubkultur)]]
[[Kategorie:US-Amerikaner]]
[[Kategorie:Geboren im 20. Jahrhundert]]
[[Kategorie:Mann]]

{{Personendaten
|NAME=Jackson, John
|ALTERNATIVNAMEN=Hacking, Mr.
|KURZBESCHREIBUNG=Sicherheitsforscher
|GEBURTSDATUM=1994 oder 1995
|GEBURTSORT=
|STERBEDATUM=
|STERBEORT=
}}

Wikipedia - Benutzerbeiträge [de]

John Jackson (Hacker)