Хакер #305. Многошаговые SQL-инъекции
Издание Bleeping Computer, ссылаясь на известного ИБ-эксперта Боба Дьяченко, предупредило о том, что компания Razer недавно оставила базу данных своего интернет-магазина незащищенной. Из-за этой оплошности производителя игровых девайсов данные примерно 100 000 человек, покупавших продукты в интернет-магазине компании, могли попасть в руки посторонних.
Дьяченко обнаружил незащищенную базу Razer, доступную любому желающему, 19 августа 2020 года. Как видно на скриншоте ниже, БД содержала имя клиента, адрес электронной почты, номер телефона, номера заказов, детали заказов, а также биллинговые адреса и адреса доставки.
Исследователь рассказывает, что на протяжении нескольких недель он не мог выйти с компанией на контакт, и лишь 9 сентября 2020 года сотрудники Razer все же обратили внимание на проблему и обезопасили проблемную БД. При этом в итоге в компании подчеркнули, что номера банковских карт пользователей и их пароли утечка не затрагивала.
I must say I really enjoyed my conversations with different reps of @Razer support team via email for the last couple of week, but it did not bring us closer to securing the data breach in their systems. pic.twitter.com/Z6YZ5wvejl
— Bob Diachenko (@MayhemDayOne) September 1, 2020
Дьяченко и специалисты Bleeping Computer отмечают, что даже без паролей и платежных данных злоумышленники могут использовать утекшую информацию о пользователях в фишинговых атаках, для сбора более конфиденциальной информации (включая финансовые данные).