Célkeresztben az AV cégek SQL adatbázisai

2009. február 17. 16:26 - Csizmazia Darab István [Rambo]

Az nem jó, ha a suszter cipője lyukas. Ennek fényében a biztonsági cégeknek kiemelten fontos, hogy weboldaluk ne lehessen áldozata semmiféle defacenek, vagy más webes támadásnak, hiszen ez azért valamilyen szinten rombolhatja a cégimázst, de akár adatokat is veszélybe sodorhat.

Nem lesz persze ettől egy antivírus program se jobb, se rosszabb, ha néha mégis sikerül fogást venni egy weboldalon - sőt feltörthetetlen weboldal nem is létezik. Alig fél éve mi is hírt adtunk, amikor a Kaspersky malájziai weboldalát elcsúfították. Most viszont úgy tűnik, egy egész sorozat zajlik több folytatásban, és erről a HackersBlog weboldalon olvashatunk részletes, képernyőképekkel ellátotta beszámolókat. Az első áldozat a Kaspersky weboldala volt, és az UNU nevű román hacker arról számolt be, hogy SQL befecskendezés segítségevel sikeresen hajtotta végre a műveletet, és ott ajtó-ablak nyitva állt email címekhez, előfizetői adatokhoz, aktiváló kódokhoz. Meg sem lepődünk, hogy a cég cáfolatában az állt, hogy szemben a támadó állításaival mindössze az SQL táblák feltérképezése zajlott, semmilyen ügyfelekkel kapcsolatos, vagy egyéb érzékeny bizalmas információ nem került ki.

Ez azonban úgy tűnik, ha így is volt, inkább szerencse kérdése volt. Azt nem tudni pontosan, hogy a behatoló miért nem lépett tovább (időhiány, fehér kalap, bármi egyéb), bár látszólag valóban megtehette volna.

Alig telt el pár nap, máris következő áldozatról számoltak be, ezúttal a BitDefender portugál oldalát birkózták le, majd az F-Secure következett SQL és XSS trükközéssel. Ez utóbbi esetén is hozzáfértek ugyan a táblákhoz, azonban állítólag ott semmilyen érzékeny adatot nem találtak.

Az elkövetők szemlátomást azóta sem unatkoznak, mai postjukban pedig az International Herald Tribune weboldala következett, ahol az adatbázisban már érzékeny adatok is szerepeltek, emailcímek, loginek, jelszó hashek.

A kulcs talán az lehet, hogy sok cégnél nem kezelik a helyén az ilyen adatellenőrzési hibákat, nem tartják elég fontosnak, pedig az. Másrészről nem megköszönik, hanem lekezelően, gőgősen vagy hozzá nemértéssel, sokszor pedig egyáltalán nem válaszolva felingerlik a jószándékú figyelmeztetéssel hozzájuk forduló embereket, ami nagy hiba. A rossz szándékkal érkező sosem fog tanácsot adni, figyelmeztetni, könyörögni, hogy hallgassák meg, hanem egyszerűen porrázúzza vagy csak csendben ellopja a hiba révén hozzáférhető adatokat.

Számunkra pedig ez azt jelentheti, hogy bizalmas ügyféladataink illetéktelen kezekbe kerülhetnek, és/vagy egy megbízhatónak tartott weboldal kódjába bármilyen kártékony kód beilleszthető, ami aztán megfertőzheti a gyanútlan látogatókat. Már csak emiatt sem szabad elhanyagolni vagy elbagatellizálni az ilyen támadásokat.

1 komment

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

süti beállítások módosítása