Xakep #305. Многошаговые SQL-инъекции
Уволенный сотрудник Disney неоднократно взламывал сторонний софт для создания меню, который используется ресторанами в центре развлечений Walt Disney World. Он изменял информацию об аллергенах (например, указывал, что продукты, содержащие арахис, безопасны для людей с аллергией), добавлял в меню ненормативную лексику, а затем вовсе изменил все шрифты на символы Wingdings.
Как сообщает издание 404 Media, подозреваемого зовут Майкл Шойер (Michael Scheuer), и его арестовали на прошлой неделе по обвинениям в компьютерном мошенничестве и злоупотреблениях.
Хотя компания Disney не фигурирует в судебных документах (речь в бумагах идет о некой медиа- и развлекательной «Компании А», которая базируется во Флориде), журналисты отмечают, что Шойер пытался войти в учетные записи сотрудников на wdpr.service-now.com, а этот портал принадлежит Walt Disney. Кроме того, в LinkedIn Шойера указано, что он работал в Disney, и даты совпадают с датами деле, а связь этого дела с Disney подтвердил адвокат обвиняемого.
Все началось в июне 2024 года, когда Шойера уволили с должности менеджера по разработке меню в компании Disney за некое «нарушение дисциплины». Вскоре после этого он использовал пароли, к которым у него еще сохранялся доступ, и скомпрометировал систему создания меню и инвентаризации, разработанную сторонней компанией специально по заказу Disney и использующуюся для создания печатных меню для ресторанов компании.
Документы гласят, что войдя в систему, Шойер якобы вносил различные изменения в меню, а в одном случае вообще вывел софт из строя на несколько недель. Причем изменения были обнаружены уже после отправки меню в печать, но до того, как они начали использоваться в ресторанах Disney.
«Злоумышленник манипулировал информацией об аллергенах в меню, добавляя в некоторые уведомления об аллергенах информацию о том, что определенные блюда меню безопасны для людей с аллергией на арахис, тогда как на самом деле они могли быть смертельно опасны для людей с такой аллергией», — гласят документы.
Стоит отметить, что в меню Disney действительно есть обширные разделы «для аллергиков».
Согласно судебным документам, Disney заключила контракт с некой компанией «Компанией B» на создание программного обеспечения Menu Creator, которое теперь является собственностью исключительно компании Disney и используется для управления запасами продуктов питания, создания и печати меню, а также установления цен.
Иск гласит, что Шойер неоднократно «манипулировал меню», изменяя цены, добавляя в текст ненормативную лексику, а также «внес несколько изменений, которые угрожали здоровью и безопасности людей», изменив информацию об аллергенах.
Утверждается, что сначала он использовал для атак учетные данные, которые остались у него со времен работы в Disney, а затем проник на FTP-серверы «Компании B», используя другие логины, так как Disney сбросила пароли для входа в Menu Creator.
Причем на происходящее обратили внимание лишь после того, как все шрифты в Menu Creator оказались заменены на символы Wingdings. Якобы Шойер умышленно переименовал файлы шрифтов, сохранив оригинальное название, но подменив сами файлы для отображения Wingdings.
В результате этих изменений все меню в БД оказались непригодными для использования, и это изменение вывело из строя всю систему Menu Creator. В итоге «Компания A» (то есть Disney) была вынуждена отключить приложение от сети, пока данные восстанавливали из бэкапов. Из-за этой атаки система Menu Creator не работала несколько недель, а сотрудникам пришлось временно перейти на работу вручную.
После этого инцидента Disney сбросила учетные данные для входа в Menu Creator. Но Шойера это не остановило: он взломал несколько FTP-серверов «Компании B», которые использовались для печати, и загрузил туда файлы со слегка измененными меню, которые на первый взгляд выглядели как настоящие. В этих файлах Шойер подменил информацию об аллергенах и некоторые цены.
В другом случае Шойер якобы взломал отдельный FTP-сервер, использовавшийся для печати больших меню, которые «вывешивались на информационных стендах для просмотра за пределами соответствующего ресторана». В этих меню он подменил QR-коды, изменив ссылки на сайт boycott-israel.org, призывающий бойкотировать Израиль из-за вторжения в Газу.
Более того, действия Шойера привели к блокировке учетных записей по меньшей мере 14 сотрудников Disney, так как он тысячи раз пытаясь войти в систему с помощью скрипта и их аккаунтов.
Обыск в доме Шойера и на его компьютерах показал, что он пытался использовать несколько VPN (включая Mullvad VPN), чтобы замети следы. Однако по записям IP-адресов удалось установить, что он использовал VPN не только во время атак: похожие IP-адреса, связанные с Mullvad, Шойер использовал и во время работы в Disney для доступа к своим рабочим аккаунтам. Кроме того, на его компьютере было обнаружено несколько виртуальных машин, которые тоже применялись в атаках и содержали доказательства этого.
Также сообщается, что на компьютере Шойера обнаружили отдельную папку с личной информацией о домах, телефонах и родственниках четырех сотрудников компании. Хуже того, в документах сказано, что Шойер появлялся возле дома одного из них ночью.
Пока неясно, на какой срок может быть осужден Шойер. Судя по предъявленным ему обвинениям, он может получить до 15 лет лишения свободы.