Хакер #305. Многошаговые SQL-инъекции
Согласно исследованию, проведенному компанией Sansec, многие интернет-магазины по ошибке оставляют в открытом доступе приватные бэкапы (например, хранят их в общих папках), где могут содержаться пароли от внутренних учетных записей и другая непубличная информация. В итоге все это может использоваться для захвата e-commerce сайтов и вымогательства.
Аналитики изучили 2037 онлайн-магазинов различных размеров и обнаружили, что 250 (12,3%) из них хранят архивы ZIP, SQL и TAR в общедоступных веб-папках, к которым можно получить свободный доступ без какой-либо аутентификации. Похоже, архивы находятся там, где им совсем не место, из-за банальной халатности, человеческого фактора или по ошибке. Хуже того, зачастую такие архивы являются резервными копиями, в которых содержатся пароли БД, секретные административные URL-адреса, внутренние API-ключи и персональные данные клиентов.
В том же отчете исследователи подчеркивают, что наблюдают постоянную активность злоумышленников, которые используют автоматическое сканирование, стремясь обнаружить такие бэкапы и осуществить взлом.
«Киберпреступники активно ищут такие резервные копии, поскольку те содержат пароли и другую конфиденциальную информацию. Утекшие секреты затем используются для захвата контроля над магазинами, вымогательства и перехвата платежей клиентов», — поясняют специалисты.
При этом преступники перебирают различные комбинации возможных имен бэкапов на целевых сайтах, основываясь на названии ресурса и публичных данных DNS, например, /db/staging-SITENAME.zip. Поскольку такие «зондирования» обходятся хакерам недорого и не влияют на производительность целевого ресурса, атакующие могут проводить подобную разведку несколько недель, пока не обнаружат искомое.
Sansec сообщает, что подобные атаки исходят со многих IP-адресов, то есть хакеры хорошо осведомлены о существовании забытых в открытом доступе бэкапов, и целенаправленно стараются ими воспользоваться.
Эксперты призывают всех владельцев сайтов регулярно проверять свои ресурсы на предмет случайного раскрытия данных и резервных копий. В случае обнаружения утечки, они советуют немедленно сбросить пароли от учетных записей администраторов и БД, а также включить двухфакторную аутентификацию для всех аккаунтов сотрудников.