На адной з папулярных хакерскіх гандлёвых пляцовак адразу некалькі прадаўцоў пачалі прадаваць SQLi-уразлівасць, з дапамогай якой, як сцвярджаецца, можна атрымаць поўны доступ да ўнутранай базе дадзеных сэрвісу PickPoint.
Кожны жадаючы можа набыць SQLi-уразлівасць да сістэм сэрвісу PickPoint за 1000 долараў. З дапамогай атакі тыпу SQL Injection задзейнічаюцца дынамічныя аператары SQL, выносяцца ў каментары пэўныя часткі інструкцый і дадаецца ўмова, якое заўсёды будзе сапраўдным. SQL-ін'екцыя нацэльваецца на ўразлівасці ў архітэктуры вэб-прыкладанняў і карыстаецца аператарамі SQL для выканання шкоднаснага SQL-кода.
На гэтым жа хакерскім форуме ў іншага прадаўца можна набыць ужо запампаваную базу дадзеных кліентаў кампаніі PickPoint, якая змяшчае каля 4 млн. Запісаў. Прадавец паведамляе, што па кожнай запісу прыведзена дэталёвая персанальная інфармацыя аб кліентах (імя і прозвішча, дата нараджэння, тэлефонны нумар, адрас пражывання, адрас электроннай амаль, хэшаваныя MD5-паролі і т. Д.).
Эксперты па інфармацыйнай бяспекі ўпэўненыя, што продаж падобнай інфармацыі - гэта «адгалоскі» таго, што адбылося ў пачатку снежня 2020 года ўзлому постаматов PickPoint. Тады невядомымі кіберзлачынцамі была праведзена кібератакі на сістэмы расійскай кампаніі, у выніку чаго ў некаторых постаматах, размешчаных у розных гарадах Расіі, былі адкрыты дзверцаў вочак, у якіх ляжалі дастаўленыя пасылкі.
У PickPoint тады адзначалі, што інцыдэнт бяспекі звязаны з правядзеннем кібератакі на правайдэраў, якія забяспечвалі доступ у інтэрнэт для постаматов. У агульнай складанасці з-за хакерскай атакі пацярпелі больш за 2,7 тыс. Постаматов з 8 тыс. Існых. У выніку адкрыцця дзверцаў постаматов было выкрадзена каля 1000 дастаўленых пасылак.
У кампаніі PickPoint пакуль яшчэ не пракаментавалі факт продажу SQLi-уразлівасці да сістэм сэрвісу. Таксама сэрвіс дастаўкі не паведамляў аб магчымай уцечцы персанальных дадзеных 4 млн. Кліентаў.
Больш цікавага матэрыялу на cisoclub.ru. Падпісвайцеся на нас: Facebook | VK | Twitter | Instagram | Telegram | дзэн | мессенджер | ICQ New | YouTube | Pulse.