सबसे लोकप्रिय हैकर खरीदारी क्षेत्रों में से एक में, कई विक्रेताओं ने एसक्यूएलआई भेद्यता को बेचना शुरू किया, जिसके साथ यह आरोप लगाया गया है, पिकपॉइंट सेवा के आंतरिक डेटाबेस तक पूर्ण पहुंच प्राप्त करना संभव है।
हर कोई 1000 डॉलर के लिए पिकपॉइंट सिस्टम में एक एसक्यूएलआई भेद्यता खरीद सकता है। एसक्यूएल इंजेक्शन प्रकार के हमले का उपयोग करके, डायनामिक एसक्यूएल स्टेटमेंट सक्रिय होते हैं, निर्देशों के विशिष्ट भाग टिप्पणियों में किए जाते हैं और एक शर्त जो हमेशा सच होगी। एसक्यूएल इंजेक्शन का उद्देश्य वेब एप्लिकेशन आर्किटेक्चर में कमजोरियों के लिए है और एक दुर्भावनापूर्ण एसक्यूएल कोड करने के लिए एसक्यूएल ऑपरेटरों का उपयोग करता है।
एक ही हैकर फोरम पर, एक और विक्रेता पहले से ही डाउनलोड किए गए पिकपॉइंट ग्राहक डेटाबेस को प्राप्त कर सकता है, जिसमें लगभग 4 मिलियन प्रविष्टियां शामिल हैं। विक्रेता रिपोर्ट करता है कि प्रत्येक रिकॉर्ड के लिए, ग्राहकों के बारे में विस्तृत व्यक्तिगत जानकारी (पूर्ण नाम, जन्मतिथि, फोन नंबर, आवास पता, इलेक्ट्रॉनिक पता लगभग, एमडी 5 पासवर्ड, आदि की जांच की गई)।
सूचना सुरक्षा विशेषज्ञों को विश्वास है कि 2020 की शुरुआत में हैकिंग पिकपॉइंट पदों में ऐसी जानकारी की बिक्री "गूँज" है। तब अज्ञात साइबर क्राइम्स ने रूसी कंपनी की प्रणाली पर एक साइबर हमला किया, जिसके परिणामस्वरूप रूस के विभिन्न शहरों में स्थित कुछ पदों में कोशिकाओं के दरवाजे खोले गए, जो पार्सल वितरित किए गए थे।
पिकपॉइंट में तब ध्यान दिया गया कि सुरक्षा घटना प्रदाताओं पर साइबर हमले से जुड़ी हुई है, जिसने पोस्ट के लिए इंटरनेट का उपयोग प्रदान किया है। कुल मिलाकर, हैकर हमले के कारण 8 हजार मौजूदा लोगों के 2.7 हजार से अधिक पदों का सामना करना पड़ा। पदों के द्वार को खोलने के परिणामस्वरूप, लगभग 1000 वितरित पार्सल का अपहरण कर लिया गया था।
पिकपॉइंट ने अभी तक सेवा प्रणालियों के लिए SQLI भेद्यता बेचने के तथ्य पर टिप्पणी नहीं की है। इसके अलावा, वितरण सेवा ने 4 मिलियन ग्राहकों के व्यक्तिगत डेटा के संभावित रिसाव की रिपोर्ट नहीं की।
Cisoclub.ru पर अधिक रोचक सामग्री। हमारी सदस्यता लें: फेसबुक | वीके | ट्विटर | इंस्टाग्राम | तार | जेन | मैसेंजर | आईसीक्यू नया | यूट्यूब | पल्स।