Веб-сайт Intel скомпрометирован в результате SQL-атаки
23.12.2009
Известный борец с SQL-уязвимостями, румынский "белый хакер" Unu, обнаружил способ проведения SQL-инъекции в веб-сайт, принадлежащий Intel. Согласно предоставленной исследователем информации, найденная им брешь в защите базы данных может быть использована для получения доступа к важной информации, в том числе – к хранящимся в ней сведениям о кредитных картах.
Свои слова Unu подкрепляет наглядной демонстрацией. Исследователь, ранее обнаруживший проблемы в базах данных серверов "Лаборатории Касперского", Symantec и Wall Street Journal, пишет, что брешь была найдена на веб-сайте Intel Channel Webinars, который функционирует в рамках программы дистрибуции IT-гиганта. Хакер отмечает, что у одного из пользователей базы данных MySQL сервера в поле HOST внесен символ "%". Это означает, что в случае удачной расшифровки пароля нападающий может получить доступ к серверу с любого IP-адреса.
Дальнейшее изучение базы показало, что пароли пользователей с административными привилегиями хранятся в ней в незашифрованном виде. Кроме того, конфигурация базы данных позволяла выполнить функцию load_file, что при определенных условиях могло позволить загрузить на сервер php-шелл и полностью скомпрометировать его.
Самое тревожное, впрочем, заключается в том, что в таблицах базы содержались сведения о кредитных картах, возможно принадлежащих платным подписчикам сайта. Unu подчеркнул, что он не стал трогать информацию в полях credit_card_number, card_expire_date и card_cvv fields, поскольку его целью была демонстрация уязвимостей, а не их эксплуатация.
Тем не менее, чтобы показать наличие опасности, хакер извлек образцы пользовательских данных, в числе которых были адреса клиентов, номера их телефонов, сведения о национальности и другая информация. На приведенных им скриншотах она частично замазана.
