Xakep #305. Многошаговые SQL-инъекции
Сайт знакомств eHarmony просит некоторых пользователей сменить пароли после
обнаружения бреши в безопасности. Внедрение SQL-кода во второстепенный сайт
создало возможность извлечения имен пользователей, email-адресов и хешированных
паролей.
eHarmony рекомендует небольшому числу пользователей сменить учетные данные в
качестве меры предосторожности, заявляя, что бреши в безопасности основного
сайта обнаружено не было, и что проблемы безопасности коснулись лишь небольшого
процента пользователей, которые посещали "сайт-консультант":
Часть информации была получена без авторизации на вспомогательном
информационном сайте, находящемся под нашим управлением, eHarmony Advice,
который использует абсолютно обособленные от eHarmony.com базы данных и
веб-серверы. Из одной базы данных eHarmony Advice хакер извлек файл, который
содержал имена пользователей, email-адреса и хешированные пароли.
Пользовательские имена и пароли необходимы для получения доступа к веб-форуму на
сайте eHarmony Advice.
Пожалуйста, будьте уверены, eHarmony использует серьезные меры
безопасности, включая хеширование паролей и шифрование информации для защиты
личной информации наших пользователей. Мы также защищаем наши сети при помощи
новейших брандмауэров, балансировки нагрузки, SSL и других сложных мер
безопасности. В результате чего хакер никаким образом не смог проникнуть в нашу
сеть eHarmony во время данной атаки.
В дополнение, пожалуйста, обратите внимание на то, что было лишь
незначительное совпадение между информацией, полученной на eHarmony Advice и
информацией, которая хранится в других базах. Мы предприняли необходимые меры,
чтобы исправить ситуацию и уведомили всех потенциально взломанных пользователей,
которые составляют очень небольшую часть от нашей общей пользовательской базы
eHarmony.com (меньше, чем 0.05 процентов).
Мы глубоко сожалеем о неудобствах, причиненных нашим пользователям.
Потенциальные проблемы в безопасности сети eHarmony были обнаружены несколько
недель назад тем же аргентинским хакером, Крисом Руссо, который вступил в
столкновение с сайтом
знакомств PlentyOfFish.com через раскрытие его уязвимостей две недели назад.
Брайан Кребс обнаружил, что кто-то, по прозвищу ‘Provider’ предлагает продать
копию взломанной базы данных eHarmony за сумму в пределах от 2000 до 3000
американских долларов через подпольные кардинг-форумы. Кребс подозревает в этом
либо Руссо, либо его делового партнера.
И глава eHarmony Джозеф Эссас, и
генеральный директор
PlentyOfFish.com Маркус Фринд обвиняют Руссо в вымогательстве, в том, что
тот осветил проблемы сайтов и затем предложил устранить их в обмен на гонорар за
консультационные услуги. Эссас обвинил во взломе сторонние библиотеки, которые
eHarmony использует для управления информационными ресурсами сайта знакомств.
Азиз Маакарун, директор по развитию в компании Outpost24, сообщил, что
появление новостей о взломе за несколько дней до праздника Св. Валентина не
самая лучшая новость для eHarmony.
"В преддверие дня Св. Валентина этот взлом может стать настоящей катастрофой
для сайта знакомств eHarmony", - сообщил Маакарун. "Для любого пользователя
известие о том, что есть возможность взлома и хищения его данных, навряд ли
станет афродизиаком".
Он добавил, что использование программ сканирования веб-приложенеий может
помочь в установлении и устранении уязвимостей, от который пострадал eHarmony на
этой неделе.