Как пишет в своем блоге румынский хакер Unu, уязвимость на сайте британского
парламента предоставляет атакующему доступ к конфиденциальной информации –
например к незашифрованным данным авторизации.
Уязвимость к SQL-инъекции, по словам хакера, присутствует на
этой странице.
Введя соответствующие команды в конец строки с веб-адресом, можно добиться того,
чтобы сервер показал информацию, не предназначенную для публичного просмотра.
Судя по скриншоту, который предоставил Unu, сайт парламентариев выдал
сведения о по меньшей мере восьми учетных записях. Одна из них ("fulera"), как
предполагает Softpedia, принадлежит некоему Алексу Фулеру, который согласно
профилю в LinkedIn в настоящее время трудится главным веб-продюсером
британского парламента.
Как бы то ни было, для парламента это плохо в любом случае, ведь согласно
данным, которые две недели назад обнародовали следователи по делу о крупнейшей в
истории краже кредитных карт, в своей преступной деятельности хакеры взламывали
с виду безопасные сайты при помощи аналогичных SQL-инъекций.
Однако, несмотря на два руководства Unu и две статьи на других
интернет-ресурсах, а также на тот факт, что веб-мастер портала был уведомлен о
наличии бага напрямую, по состоянию на вечер вторника дыра все еще не закрыта.
Так что, пока уязвимость не прикроют, советуем держаться от этого веб-сайта
подальше. Ну или поближе...
