Inet.sk

Igigi zdolal aj Azet.sk

4. 1. 2010, Internet, Redakcia Inet.sk, 16 komentárov

Igigi je hacker, ktorý v posledných dňoch púta na seba všetku pozornosť. Jeho počínanie pripomína odvážnu poľovačku na nedostatočne zabezpečené weby, pričom jeho lov je mimoriadne úspešný.

Igigi dáva o sebe vedieť pomocou bezplatnej blogovacej služby BayWords.com, ktorá o svojich používateľoch neuchováva žiadne relevantné informácie, čo mu zabezpečuje anonymitu. Podľa všetkého sa špecializuje len na SQL injection, čo je pomerne bežná a účinná metóda ako získať prístup k databáze daného webu cez neošetrený vstup na stránke.

Napriek tomu, že jeho blog existuje len necelý mesiac, Igigi si podal už viacero známych webov. Za obeť mu padli napríklad CSFD.cz, Rockyou.com, Orange.sk, Zoner.cz, Union.sk, Dennik.cz, Atlas.sk, Auto.cz a posledne i Azet.sk. Igigi zároveň odhalil, že niektoré weby uchovávajú prihlasovacie údaje svojich používateľov v nezašifrovanej podobe. Tým má útočník plný prístup k hociktorému účtu a to bez akejkoľvek námahy. Ďalej je už len na ňom ako to využije.

O nič lepšie na tom však nie sú ani používatelia ostatných napadnutých stránok, u ktorých boli údaje zašifrované napríklad pomocou algoritmu MD5 (Azet.sk pravdepodobne nie je výnimkou). Existujú napr. databázy MD5 hashov, ktoré vám daný reťazec v reálnom čase dekódujú do nezašifrovanej podoby. Podobne je na tom i algoritmus SHA1, ktorý sa tiež na tieto účely využíva.

Situácia okolo prieniku do jednej z databáz Azet.sk je však vážnejšia ako sa na prvý pohľad môže zdať. Táto databáza obsahovala rôzne osobné údaje používateľov, ktoré boli v nezašifrovanej podobe. Jedná sa napríklad o meno, priezvisko, dátum narodenia, emailovú adresu, číslo mobilu a mnoho iných údajov, ktoré sú teraz k dispozícii neoprávnenej osobe. Dôkazom je záver výpisu dát z databázy na Igigiho blogu, kde vidno napr. nezašifrovanú emailovú adresu jedného používateľa. Môžeme len hádať čo všetko má k dispozícii.

Obavy sú na mieste

Je viac než isté, že Igigi nebude mrhať energiou, aby napr. zašifrované heslá dekódoval či získané údaje nejako zneužil. Avšak stále môže databázu poskytnúť iným, ktorí budú mať pre ňu vhodné využitie. Napríklad databáza s viac ako 7 miliónov emailových adries sa vždy niekomu zíde.

Komické je, že oficiálny kontaktný email pre nahlasovanie problémov spojených s bezpečnosťou je v čase písania tohto článku nefunkčný.

This is the mail system at host dell161.s.etech.sk.

I'm sorry to have to inform you that your message could not
be delivered to one or more recipients. It's attached below.

For further assistance, please send mail to postmaster.

If you do so, please include this problem report. You can
delete your own text from the attached returned message.

The mail system

<bezpecnost@firma.azet.sk>: host firmamail.etech.sk[85.216.244.128] said: 550
5.1.1 <bezpecnost@firma.azet.sk>: Recipient address rejected: firma.azet.sk
(in reply to RCPT TO command)

Aktuálne spoločnosť Azet.sk už vykonala niekoľko opatrení, ktoré by mali zvýšiť zabezpečenie stránky. Samotným používateľom pravdepodobne bola už zaslaná aj výzva na zmenu hesla.

Záverom však musíme upozorniť, že spoločnosť Azet.sk bola už v minulosti niekoľkokrát kritizovaná za rôzne bezpečnostné nedostatky. Dalo sa len očakávať, že niekto ich aj zneužije.

Za námet ďakujeme anonymnému používateľovi Azet.sk.