Intel website hacked

Уже ставший известным широкой аудитории по взломам сайтов "Лаборатории Касперского", Symantec, etc, хакер Unu вновь напомнил о себе. На этот раз исследователь откопал SQL-инъекцию на сайте компании Intel (Intel Channel Webinars, channeleventsponsors.intel.com), который функционирует в рамках программы дистрибуции IT-гиганта.


Поверхностно пробежавшись по доступным таблицам, наш герой заметил хранящиеся пароли администраторов в plain-тексте, а также таблички с яркими именами колонок, говорящими сами за себя: id, card_type, passport_dob, passport_number, passport_issue, passport_expiry, passport_nationality, passport_name, phone_number_cell, address1, city, card_issue_number, card_expire_date, card_cvv.




Примечательно, что у пользователя с ограниченными правами (limited@localhost), от имени которого выполнялись SQL-запросы в базу, была назначена привилегия "file_priv", что при развитии атаки могло использоваться злоумышленником для получения возможности выполнения команд на сервере.


Дополнительные источники: 1,2,3.

10 комментариев :

  1. и всё гетом.

    не совсем понятен умысел "хакера" популярность? показать какие все незащищенны?))


    думаю скоро будет видно новость о поимке Unu :(

    ОтветитьУдалить
  2. to halkfild:

    я полагаю его умысел - самореклама. но за такую "хулиганскую" рекламу он вполне может "попасть" собсем не по-детски...

    ОтветитьУдалить
  3. Поскольку я знаю, прежде чем опубликовать уязвимости, (в отличие от других кстати), unu сообщает администратором сервера об этом... и как мы хорошо знаем, 30% из них ничего не предпринимают, остальные начинают врать что, якобы "у них такое не было" или "ничего опасного — Ваши данные в безопасности"...

    Кстати, начёт взлома, этот же сервер был взломан около месяца назад:


    И где гарантия, что эти данные (которые опубликовал unu) не используют уже в других целях? А ведь Intel ничего не сказал, и только благодаря румынскому хакеру все узнали, как Интел относится к персональным данным.

    Моё мнение, этот парень молодец, но проблема в том, что есть такие гиганты, которым наплевать на своих клиентов, и из-за всех сил стараются тянуть его на дно.

    Начёт "допрыгается" — не уверен, ведь он НИЧЕГО не нарушает, и потом, в июне Orange подал иск против Google, чтобы с их помощью арестовать группу HackersBlog, но как мы видим, никто не арестован...

    ОтветитьУдалить
  4. >> и как мы хорошо знаем, 30% из них ничего не предпринимают

    откуда появилась цифра в 30%?

    >> этот же сервер был взломан

    очень занятный материал, спасибо за ссылку!

    >> Моё мнение, этот парень молодец

    а никто и не утверждал обратного:) обсуждение касалось исключительно преследуемых целей Unu и возможных последствий от его сомнительной деятельности.
    Вот, кстати какой ответ можно получить от разработчиков, когда им в стиле just for fun сообщаешь про уязвимости в их движках:
    "
    ...
    I solved problem B, you were right about this. I fully understand problem A, but can you give a more specific example of which SQL-injection you could do?

    And last question: why are you doing this? To make the world better?"
    :))

    >> Начёт "допрыгается" — не уверен, ведь он НИЧЕГО не нарушает

    Ошибаетесь. Во-первых, невиновных нет:( А во-вторых, нарушает! Он получил доступ к данным, составляющим коммерческую тайну без легального предоставления такого доступа. Так что, если по нашим законам, то 272 ст. уже есть.
    Кстати, обсуждение на эту тему (см. коменты):
    http://infowatch.livejournal.com/84302.html
    и еще: http://infowatch.livejournal.com/84776.html

    >> но как мы видим, никто не арестован

    К сожалению и у нас и за рубежом практикуются "показательные" судебные процессы. Да, есть те, кого это обошло стороной (им повезло), но есть и другие, которым повезло в меньшей степени.
    Прежде, чем заниматься любой сомнительной деятельностью стоит хорошо подумать, а стоит ли оно того...

    ОтветитьУдалить
  5. »» предпринимают.
    Я уверен на 90% что не предпринимают.
    Маленький пример: Можно посмотреть на случай с Orange — они не устранили уязвимость, пока HackersBlog не опубликовал статью на блоге.

    »» откуда появилась цифра в 30%?
    Раньше, я тоже сообщал администраторам сайтов о наличие уязвимостей. Как правило, через несколько дней проверял, что они там "починили"... После каждой 3-4 сообщении заметил такой "эффект" — равнодушие. Думаю, многие, которые сообщают об уязвимостях, заметили "необычное поведение". НО, есть ещё одна маленькая "проблема": эти сообщении могли получать вовсе не веб-мастеры, а какие-то "специалисты", которые увидев заголовок "Ваш сайт уязвим к Php including", удалили сообщение, думая, что этот спам. Но это их проблемы...

    »» а никто и не утверждал обратного.
    Простите, но я не дописал свою мысль. Хотел сказать, что он молодец, потому что делает всё это публично (заставляя ВСЕХ, шевелить быстрее свой "хвост") и не подкупается «ни деньгами, ни ложью», и с моей точки зрения здесь не идёт речь (как Вы сказали) о "саморекламе".
    p.s. на zone-h, я не увидел ни одной его "работы". :)

    »» Вот, кстати какой ответ можно получить от разработчиков.
    Вообще-то разработчики должны сказать спасибо людям, которые ради удовольствия, проверили движок, да ещё и сообщили об обнаружении опасных уязвимостей, вместо того чтобы продать её на "чёрный рынок" и получить за это кучу денег.

    »» Ошибаетесь. Во-первых, невиновных нет.
    100% согласен с Вами — и в этом случае виноваты программисты/INTEL. Ведь виновен, считается тот, кто создал приложение, построил дом, отремонтировал автомобиль и т.д., а не тот, кто начал кричать о том, что нашёл уязвимость, заметил, что не ставили двери или что отсутствуют колеса/тормоза...

    »» А во-вторых, нарушает.
    Не хочу спорить, но, как уже многие знают и замечали, законы в сфере ИТ никто 100% не может точно понять и объяснить.

    Насчёт статьи 272 УК РФ, можно сказать, что unu ничего не нарушал, потому что:
    — во-первых, и самое главное (второе можно даже не читать :)) его "деяние НЕ повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети..."
    — во-вторых, не уверен, но вообще-то получается что unu не получил несанкционированный доступ к информации, так как это информация не была защищена.

    ОтветитьУдалить
  6. >> Я уверен на 90% что не предпринимают.

    субъективная точка зрения... хорошо бы на этот счет получить подкрепленную фактами метрику. у меня вот, например, есть другие данные (только несколько не публичные).

    >> Можно посмотреть на случай с Orange — они не устранили уязвимость, пока HackersBlog не опубликовал статью на блоге.

    бизнес оперирует не "уязвимостями", а рисками. до того момента пока HackersBlog не опубликовал статью риск был минимальным, следовательно, они особо и не шевелились.

    >> После каждой 3-4 сообщении заметил такой "эффект" — равнодушие.

    Так оно и есть и "эти сообщении могли получать вовсе не веб-мастеры" верно. Потому я занимаю позицию public disclosure – это хорошо, только он должен быть правильным (http://www.securitylab.ru/lab/disclosure-policy.php).

    >> и с моей точки зрения здесь не идёт речь (как Вы сказали) о "саморекламе".
    >> p.s. на zone-h, я не увидел ни одной его "работы". :)

    Так вся информация публикуется здесь: http://unu123456.baywords.com/ сюда же все и ссылаются.

    >> Вообще-то разработчики должны сказать спасибо

    Далеко не каждый, готов с улыбкой отреагировать на собственные косяки...

    >> и в этом случае виноваты программисты/INTEL

    Нет:) Я хотел сказать, что при желании виновным может оказаться самый законопослушный человек в нашем обществе.

    >> Насчёт статьи 272 УК РФ, можно сказать, что unu ничего не нарушал, потому что:

    Нет, Вы заблуждаетесь. Его деяние повлекло копирование охраняемой законом информации (персональные данные + коммерческая тайна в виде номеров кредитных карт), вот пример: http://unu123456.baywords.com/files/2009/12/i_card_passport.JPG

    Кроме того, сам факт поиска уязвимости в Web-приложении (и не только в web) без согласования этого деяния с владельцем ресурса в суде будет расцениваться, как преступление, совершенное умышленно (http://www.consultant.ru/popular/ukrf/10_6.html#p227). В случае, если поиск уязвимости был осуществлен, а уязвимость не была найдена – это тоже преступление, только не доведенное до конца (http://ru.wikipedia.org/wiki/Стадии_совершения_преступления).

    ОтветитьУдалить
  7. в тему обсуждения: http://www.securitylab.ru/news/389184.php

    ОтветитьУдалить