Хакер #305. Многошаговые SQL-инъекции
Вчера стало известно, что некие хакеры получили root-доступ к серверам
компании Automattic, владеющей блог-хостингом WordPress.com. По сообщению
компании, данные VIP-клиентов также были доступны хакерам, включая исходные коды
сайтов. Таким образом помимо внутренних документов и публикаций, хакерам стали
доступны пароли и авторизационные ключи от различных служб и аккаунтов, которые
используются для интеграции сайтов с социальными сетями (такими, как Facebook
или Twitter), облачными сервисами хранения и обработки данных (например, Amazon
S3), а также, не исключено, что приватные ключи SSL сертификатов.
Automattic ведет расследование ситуации. По данным TechCrunch, WordPress.com
обслуживает 18 миллионов блоггеров (включая CBS и TechCrunch), и на долю этих
блоггеров приходится до 10% всех вебсайтов Интернета (но львиная доля, там,
скорее всего - "сплоги", т.е. блоги со спамом).
После того как была проведена низкоуровневая атака на серверы Automattic,
компания, наверное, в качестве шутки, решила напомнить правила по безопасности в
интернете и посоветовала использовать стойкие пароли, разные для разных сайтов.