Mail.RuПочтаМой МирОдноклассникиИгрыЗнакомстваНовостиПоискВсе проекты
3 декабря 2015, Источник: TJournal

Хакер w0rm взломал сайты «АвтоВАЗа»

Известный русскоязычный хакер w0rm получил доступ к сайтам «АвтоВАЗа», воспользовавшись уязвимостью в сервисе MegaIndex. Система командной работы и онлайн-управления SEO-проектами применялась для продвижения ресурсов автопроизводителя, сообщает TJournal.

Незакрытая уязвимость

Хакер искал SEO-специалистов для продвижения одного из своих проектов. Когда он стал присматриваться к MegaIndex как к потенциальному подрядчику, то установил, что сайт этого проекта до сих пор подвержен уязвимости Heartbleed, обнаруженной весной 2014 года.

Наличие Heartbleed поставило под угрозу сотни тысяч сайтов. Кроме того, ряд хакеров заявляли о том, что уязвимость обеспечила доступ к данным банковских карт клиентов РЖД.

Хакер получил дамп памяти, что обеспечило ему доступ к данным для входа в панель администрирования. Там w0rm вошел в личный кабинет Николая Хиврина, генерального директора ALTWeb Group, владеющей компанией MegaIndex, и смог проанализировать содержимое базы данных сайта.

Уязвимости есть в любом проекте. Нам постоянно пишут «хакеры», которые якобы что-то находят. Как правило, это школьники, которые находят незначительные уязвимости. Мы на них не обращаем внимания.
Николай Хиврин Гендиректор ALTWeb Group

Выяснилось, что MegaIndex пользовалась системой мониторинга рабочего времени сотрудников, автоматически делавшей скриншоты рабочих столов по расписанию. Всё это в совокупности дало хакеру все нужные ему ключи доступа к сайтам «АвтоВАЗа» (lada.ru, а также к старым адресам avtovaz.ru и vaz.ru) и ещё 30 доменам и поддоменам.  

Имея доступы к FTP со скриншотов рабочих столов разработчиков, получить доступ намного проще.
Хакер w0rm

Результаты взлома

Данные для доступа к сайтам клиентов на ресурсе MegaIndex хранились в базе SQL в открытом виде. Хакер заявил, что в его распоряжении оказалось 14 тысяч пар «логин – пароль», причем валидность базы составляет около 60%.

Наличие доступа ко всей базе данных самого MegaIndex дало киберпреступнику ещё 250 тысяч пар логинов и хэшей паролей (MD5-сумм), и за первые сутки удалось расшифровать 90% из них. В одной из таблиц базы хакер обнаружил данные о кредитных картах клиентов и совершенных платежах.

Содержимое доменов, к которым w0rm получил доступ, он смог свободно редактировать. Кроме того, хакер располагал возможностью изменения служебной базы данных «АвтоВАЗа», через которую можно влиять на работу региональных отделений компании и бухгалтерию.   

Робин Гуд нашего времени

Хакер утверждает, что отправил информацию об уязвимостях на e-mail администратора MegaIndex и написал сообщения ряду сотрудников компании в социальной сети, однако ответов не получил. Аналогичное послание он направил руководству «АвтоВАЗа», но даже после этого проблему не решили.

На что я рассчитываю? На «дружбу» и «безопасный интернет». Я плохо вижу, что с ними выйдет что-то интересное в плане партнёрства. Пусть хоть уязвимости закроют.
Хакер w0rm

На вопросы TJournal советник президента «АвтоВАЗа» Алексей Агуреев отвечать отказался, а PR-директор компании Сергей Ильинский заявил, что производитель занимается изучением ситуации. Однако  w0rm заметил, через несколько часов после отправки запроса TJournal доступ извне к администраторскому интерфейсу сайтов был закрыт.

Николай Хиврин заявил, что ALTWeb Group к «АвтоВАЗу» «никакого отношения не имеет и с ним не работала», а продвижением системы для совместной работы MegaIndex они уже два года не занимаются из-за её экономической неэффективности. Он лишь признал наличие небольшой проблемы с одним из компьютеров компании, добавив, что она уже решена, а злоумышленник, виновный в ней, вычислен.

BQ Magic BQS-5070
Тонкий, яркий и недорогой
Комментарии
20
продвижение сайтов в кирове
лол, руководство как всегда не признала своих ошибок, а восприняло все в штыки и пытается умолчать)
СсылкаПожаловаться
Bahrom Tursunov
Пришло очерет АвтоВАЗа след. кто ????
СсылкаПожаловаться
Неисправимый Оптимист
В ответ на комментарий от Артур Журавлев
Комментарий удален.Почему?
Теперь об этом узнали еще несколько сотен человек, может пара-тройка в закладки добавят...
СсылкаПожаловаться
Чтобы оставить комментарий, вам нужно авторизоваться.
Обнаружили ошибку? Выделите ее и нажмите Ctrl+Enter.
Hi-Tech Mail.Ru
Apple iPhone SE 64GB
от31 210руб.
Samsung Galaxy A5 (2016)
от17 700руб.
Apple iPhone 7 32GB
от43 600руб.
Apple iPhone 6S 32GB
от35 740руб.
Samsung Galaxy S7 32GB
от32 500руб.
Meizu M3 Note 16GB
от9 490руб.
Xiaomi Redmi 3S Pro 32GB
от9 131руб.
Samsung Galaxy S7 Edge 32GB
от37 000руб.
Apple iPhone 7 128GB
от51 500руб.
Samsung Galaxy A3 (2016)
от14 000руб.
Подпишитесь на нас
Новости Hi-Tech Mail.Ru