Хакер #305. Многошаговые SQL-инъекции
Аргентинский "белый" хакер, называющий себя Ch Russo, вместе с двумя
коллегами обнаружил на сайте известного торрент-трекера The Pirate Bay массу
уязвимостей, которые позволили ему получить доступ к интерфейсу администратора
сайта со всеми правами. Ch Russo получил возможность не только узнавать
персональные данные любого пользователя ресурса, включая выставленные на обмен
файлы, но также изменять или удалять такую информацию.
С исследователем в течение некоторого времени общался известный обозреватель
проблем кибербезопасности Брайан Кребс. Он получил от Ch Russo скриншоты,
доказывающие, что тот имеет доступ администратора "Пиратской бухты".
В частности, хакер продемонстрировал журналисту имена и хешированные пароли
администраторов и модераторов трекера. Также, получив от Кребса имя
пользователя, под которым тот зарегистрировался на "Бухте", Ch Russo выслал в
ответ связанные с этим юзером email-адрес и хешированный пароль. Дальнейшее
общение окончательно убедило журналиста в том, что у аргентинца действительно
имеется доступ к этой информации.
Ch Russo заверил Кребса, что ни он, ни его товарищи не вносили никаких
изменений в пользовательскую базу The Pirate Bay. Однако он отдаёт себе отчёт в
том, что от доступа к этим данным не отказались бы организации вроде RIAA или
MPAA, действующие от имени правообладателей, чьи права нарушаются
файлообменщиками.
Кребс со своей стороны предпринял попытку связаться с администрацией
"Пиратской бухты". Однако его сообщение, отправленное через предусмотренную на
сайте форму, в течение нескольких дней оставалось без ответа. Журналист также
попытался добиться комментариев от представителя этого ресурса на официальном
IRC-канале, описав суть проблемы и приложив доказательства в виде полученных от
Ch Russo имён и хэшированных паролей администраторов, но был тут же без
разговоров забанен.
Впрочем, по словам Ch Russo, на данный момент админы "Бухты", похоже,
прикрыли веб-интерфейс для доступа к пользовательской базе, так что они
наверняка не оставили сообщение Кребса без внимания. Никаких официальных
сообщений о данном инциденте "Пиратская бухта" пока не делала.
Напомним также, что люди, стоящие за известным трекером, в своё время
запустили VPN-сеть с целью обеспечить файлообменщикам анонимность. Как видим,
никакая VPN не сможет защитить пользователей, если хакеры могут получить доступ
непосредственно к базе. Да и у VPN имеются свои проблемы с безопасностью.