Румынские "белые хакеры" под предводительством эксперта, известного под ником
"unu", публикуют результаты своей деятельности на собственном сайте
hackersblog.org. Среди
их достижений – обнаружение уязвимостей к SQL-инъекциям на веб-порталах
Лаборатории Касперского,
BitDefender,
F-Secure и Symantec. В
числе опубликованных на этой неделе материалов – отчеты о взломе веб-сайта
газеты The Daily Telegraph и онлайн-ресурса телекоммуникационной компании
BT.
Однако Symantec и BT, в свою очередь, заявляют, что взломщики преувеличивают
свои достижения. В частности, представители BT сочли нужным подчеркнуть, что
хакерам удалось получить доступ лишь к тестовой базе данных, которая не
содержала никакой реальной пользовательской информации, а специалисты Symantec
признали лишь наличие "несовместимой обработке исключений", отказавшись при этом
согласиться с тем, что обнаруженный хакерами баг может привести к незаконному
доступу к базе данных.
Эксперты Symantec заявили следующее: "В результате исчерпывающего
расследования мы установили, что слепая SQL-инъекция, по сути, неэффективна.
Разница в ответе на валидный и инжектированный запросы существовала лишь из-за
некорректной обработки исключений для языковых опций. Мы изменили упомянутую
страницу с целью обеспечения лучшей обработки исключений".
В то же время, в Telegraph сообщили, что доступ к базе данных одного из
партнерских сайтов этой медиа-группы действительно имел место. Это стало
возможным благодаря уязвимости в коде сайта.
Пол Чессброу, старший сотрудник службы информации Telegraph Media Group, в
связи со случившимся сообщил, что данный инцидент не затронул главный сайт
издания (telegraph.co.uk), как о том поспешили сообщить конкуренты, однако,
несмотря на это, там весьма серьезно отнеслись к возможности компрометации
ресурса. Поэтому затронутый этой проблемой сайт был немедленно отключен, а
двухлетней давности сторонний код, на котором он работал, был полностью
переписан.
Мистер Чессброу поблагодарил коллектив HackersBlog за содействие, отметив:
"Хакеров сейчас редко можно назвать друзьями, однако в этом случае для нас очень
важно выразить благодарность команде сайта hackersblog.org за то, что они
обратили внимание на данную проблему. Мы прислушались и работаем над устранением
ее причин".