Хакер #305. Многошаговые SQL-инъекции
Французское издание Le Parisien сообщило об аресте пяти человек, похитивших с автозаправок возле Парижа более 120 000 литров бензина.
Группировка взламывала автозаправки при помощи некоего устройства удаленного доступа, приобретенного в онлайне. Девайс помогал разблокировать определенные модели топливных насосов на заправках Total. Это становилось возможным из-за того, что сотрудники автозаправочных станций очень часто забывают сменить дефолтный PIN-код от топливных насосов, который по умолчанию установлен на «0000». В итоге хакеры получали возможность ввести PIN-код, обнулить цены и избавиться от других ограничений.
Как правило, злоумышленники работали группами по два-три человека и приезжали на заправки ночью, на двух машинах. Люди в первом автомобиле разблокировали заправочную станцию, после чего подъезжала команда на второй машине (обычно это был фургон) и сливала в установленный прямо в авто резервуар 2000-3000 литров топлива за раз.
После злоумышленники продавали похищенное, рекламируя свои услуги в социальных сетях и сообщая время и место, когда и куда потенциальные покупатели могут подъехать за дешевым бензином и дизелем. Правоохранительные органы считают, что таким образом злоумышленники успели заработать на продаже краденого топлива около 150 000 евро.
Напомню, что похожий случай произошел в прошлом году в американском Детройте. Тогда у автозаправочной станции похитили топливо на сумму 1800 долларов США, пока работники заправки пытались понять, что происходит и блокировать работу насосов. В итоге полицейские пришли к выводу, что системы заправки были умышлено скомпрометированы с помощью устройства удаленного доступа.