En una de las zonas comerciales de hackers más populares, varios vendedores comenzaron a vender una vulnerabilidad de SQLI, con la que se alega, es posible obtener acceso completo a la base de datos interna del servicio PickPoint.
Todos pueden comprar una vulnerabilidad SQLI al sistema PickPoint para 1000 dólares. Utilizando el ataque de tipo de inyección SQL, se activan las declaraciones de SQL dinámicas, las partes específicas de las instrucciones se realizan en los comentarios y se agrega una condición que siempre será cierta. La inyección de SQL está dirigida a las vulnerabilidades en la arquitectura de la aplicación web y utiliza a los operadores SQL para realizar un código SQL malicioso.
En el mismo foro de hackers, otro vendedor puede adquirir la base de datos de clientes de PickPoint ya descargada, que contiene aproximadamente 4 millones de entradas. El vendedor informa que para cada registro, información personal detallada sobre los clientes (nombre completo, fecha de nacimiento, número de teléfono, dirección de alojamiento, dirección electrónica casi, verificadas contraseñas de MD5, etc.).
Los expertos en seguridad de la información están seguros de que la venta de dicha información es "ecos" a principios de diciembre de 2020 posters de Pick PickPoint. Luego, los cibercríes desconocidos celebraron un ataque cibernético en el sistema de la compañía rusa, como resultado de lo cual se abrieron las puertas de las células en algunos puestos ubicados en diferentes ciudades de Rusia, que fueron entregadas parcelas.
En PickPoint, luego señaló que el incidente de seguridad está asociado con un ataque cibernético a los proveedores, que proporcionó acceso a Internet para publicaciones. En total, más de 2.7 mil puestos de 8 mil existentes sufrieron debido al ataque informático. Como resultado de abrir la puerta de las publicaciones, se secuestraron aproximadamente 1000 parcelas entregadas.
PickPoint aún no ha comentado sobre el hecho de vender la vulnerabilidad de SQLI a los sistemas de servicio. Además, el servicio de entrega no reportó posibles fugas de datos personales de 4 millones de clientes.
Material más interesante en cisoclub.ru. Suscríbase a nosotros: Facebook | Vk | Twitter | Instagram | Telegrama | Zen | Messenger | ICQ nuevo | YouTube | Legumbres.