Xakep #305. Многошаговые SQL-инъекции
В феврале 2020 года сообщалось, что в открытый доступ попали данные 10,6 млн постояльцев отелей MGM Resorts. Утечка включала в себя не только информацию об обычных туристах и путешественниках, но также личные и контактные данные знаменитостей, глав крупных компаний, журналистов, правительственных чиновников и сотрудников ряда крупнейших технологических компаний мира. В том числе и такие личные данные, как полные имена, домашние адреса, номера телефонов, email-адреса и даты рождения.
Как выяснилось теперь, на самом деле проблема была куда серьезнее: в результате атаки в 2019 году в руки третьих лиц попали данные 142 млн человек.
О реальных масштабах произошедшего стало известно из-за того, что хакер под псевдонимом NightLion выставил на продажу (на торговой площадке Empire в даркнете) информацию о 142 479 937 гостях отелей MGM. Дамп был оценен в 2900 долларов.
Напомню, что хакер утверждает, что эта информация получена путем взлома сервиса по мониторингу и арегации утечек DataViper, принадлежащего ИБ-компании Night Lion Security. О взломе DataViper и мотивах злоумышленника мы подробно рассказывали вчера. Винни Тройя, основатель Night Lion Security и DataViper, заявляет, что его компания никогда не владела полной копией БД MGM. То есть хакер якобы продает свои собственные базы данных, а не какую-то информацию, похищенную у DataViper, и пытается испортить репутацию компании эксперта.
Тем не менее, в минувшие выходные MGM Reports опубликовала заявление, в котором сообщается, что компании было известно о реальных масштабах атаки. «MGM Resorts была осведомлена о масштабах этого инцидента, произошедшего прошлым летом и ранее преданного огласке», — гласит заявление.
В компании уверяют, что уже расследовали эту ситуацию, уведомили пострадавших пользователей, и подавляющее большинство «утекших» данных — это лишь контактная информация (такая как имена, почтовые адреса и адреса электронной почты).
Однако издание ZDNet, ссылаясь на специалистов компании KELA, отмечает, что даже 142 млн пострадавших – это, возможно, еще не предел. Дело в том, что по данным исследователей, похищенная у MGM информация распространялась узких хакерских кругах как минимум с июля 2019 года. А реклама на одном русскоязычном хакерском форуме гласила, что в руки злоумышленников попали данные более 200 миллионов постояльцев отелей.