Na jednej z najpopularniejszych dzielnic handlowych hakerów, kilku sprzedawców zaczęło sprzedawać podatność SQLI, z którymi jest rzekomo, możliwe jest uzyskanie pełnego dostępu do wewnętrznej bazy danych usługi PickPoint.
Każdy może kupić podatność SQLI do systemu Pickpoint dla 1000 dolarów. Korzystając z ataku typu iniekcyjnego SQL, dynamiczne instrukcje SQL są aktywowane, konkretne części instrukcji są dokonywane w komentarzach i warunku, który zawsze będzie true. Wtrysk SQL jest skierowany do luk w architekturze aplikacji internetowych i wykorzystuje operatorów SQL do wykonania złośliwego kodu SQL.
Na tym samym forum Hacker inny sprzedawca może zdobyć już pobrany bazy danych klientów typu PickPoint, który zawiera około 4 miliony wpisów. Sprzedawca informuje, że dla każdego rekordu, szczegółowe dane osobowe o klientach (pełna nazwa, data urodzenia, numer telefonu, adres zakwaterowania, adres elektroniczny prawie, sprawdzone hasła MD5 itp.).
Eksperci z bezpieczeństwem informacji są przekonani, że sprzedaż takich informacji jest "echa" na początku 20 grudnia 2020 r. Hacking stanowiska punktowe. Następnie nieznane cyberprzestrzeniały się atak w systemie rosyjskiej firmy, w wyniku czego drzwi komórek otworzyły się w niektórych stanowiskach znajdujących się w różnych miastach Rosji, które zostały dostarczone paczki.
W punkcie PickPoint zauważył, że incydent bezpieczeństwa wiąże się z atakiem cybernetycznym na dostawców, które zapewniło dostęp do Internetu do postów. W sumie ponad 2,7 tysięcy postów od 8 tysięcy istniejących cierpiał z powodu ataku hakerskiego. W wyniku otwarcia drzwi postów, około 1000 dostarczonych paczek zostało porwany.
Pickpoint nie skomentował jeszcze faktu sprzedaży podatności SQLI do systemów serwisowych. Ponadto usługa dostawy nie zgłosiła możliwych wycieków danych osobowych 4 milionów klientów.
Bardziej interesujący materiał na cisoclub.ru. Subskrybuj nam: Facebook | Vk |. Twitter |. Instagram |. Telegram |. Zen |. Messenger |. ICQ Nowy |. YouTube |. Puls.