Известный борец с SQL-уязвимостями, румынский “белый хакер” Unu, обнаружил
способ проведения SQL-инъекции в веб-сайт, принадлежащий Intel. Согласно
предоставленной исследователем информации, найденная им брешь в защите базы
данных может быть использована для получения доступа к важной информации, в том
числе – к хранящимся в ней сведениям о кредитных картах.
Свои слова Unu подкрепляет
наглядной демонстрацией. Исследователь, ранее обнаруживший проблемы в базах
данных серверов “Лаборатории Касперского”, Symantec и Wall Street Journal,
пишет, что брешь была найдена на веб-сайте Intel Channel Webinars, который
функционирует в рамках программы дистрибуции IT-гиганта. Хакер отмечает, что у
одного из пользователей базы данных MySQL сервера в поле HOST внесен символ “%”.
Это означает, что в случае удачной расшифровки пароля нападающий может получить
доступ к серверу с любого IP-адреса.
Дальнейшее изучение базы показало, что пароли пользователей с
административными привилегиями хранятся в ней в незашифрованном виде. Кроме
того, конфигурация базы данных позволяла выполнить функцию load_file, что при
определенных условиях могло позволить загрузить на сервер php-шелл и полностью
скомпрометировать его.
Самое тревожное, впрочем, заключается в том, что в таблицах базы содержались
сведения о кредитных картах, возможно принадлежащих платным подписчикам сайта.
Unu подчеркнул, что он не стал трогать информацию в полях credit_card_number,
card_expire_date и card_cvv, поскольку его целью была демонстрация
уязвимостей, а не их эксплуатация.
Тем не менее, чтобы показать наличие опасности, хакер извлек образцы
пользовательских данных, в числе которых были адреса клиентов, номера их
телефонов, сведения о национальности и другая информация. На приведенных им
скриншотах она частично замазана.