Xakep #305. Многошаговые SQL-инъекции
Хакер, известный под псевдонимом BVM, за последние пару недель взломал и дефейснул десятки сабреддитов, включая популярнейшие r/pics, r/starwars и r/gameofthrones. Сам BVM признается, что уже «сбился со счета», но якобы суммарно он взломал более 70 разных подсайтов Reddit. Зачем BVM это сделал? Он утверждает, что причиной стала простая скука и «дерьмовая безопасность Reddit».
О похождениях BVM рассказали журналисты издания Vice Motherboard, с которыми хакер согласился пообщаться посредством чата. Хакер говорит, что не совершил ничего необычного, лишь воспользовался возможностями, которые атакующим предоставляет сам Reddit, а также отсутствием двухфакторной аутентификации на сайте. Цели взломщик выбирал случайно, под прицел либо попадали популярные сабреддиты (хакер руководствовался статистикой redditmetrics.com), либо BVM просто бил наугад.
«[Я сделал это] без каких-либо конкретных причин. Это было не сложно, ничего такого, так что я просто коротал время», — сообщил BVM в чате.
Взломщик отказался раскрыть методы и инструменты, которые он использовал для атак, а также отказался сообщить что-либо о себе, разве что признался, что он мужчина. В общих чертах BVM описал схему атак просто: он взламывал аккаунты модераторов различных сабреддитов, а затем подменял CSS стили страницы, размещая сообщение о взломе. Судя по всему, пароли к аккаунтам модераторов хакер подбирал при помощи брутфорса, или использовал для этого фишинговые уловки. Работу дефейсера существенно облегчило отсутствие двухфакторной аутентификации:
«Безопасность Reddit – дерьмо», — заявил BVM. — «Если бы Reddit хотя бы добавил поддержку двухфакторной аутентификации, взлом стал бы гораздо сложнее».
Журналисты Vice Motherboard пишут, что уже после публикации материала с ними связался модератор одного из атакованных сабреддитов — r/pics. Он признался, что хакер сумел получить доступ к его аккаунту, потому что он использовал на Reddit неуникальный пароль, которым пользовался также на других ресурсах.
Официальные представители Reddit пока никак не прокомментировали происшедшее.