Русскоязычный хакер,
под ником w0rm, через уязвимость Heartbleed получил доступ к сервису для командной работы и управления SEO-проектами онлайн
. Это позволило ему найти информацию о логинах и паролях к администрированию официальными сайтами «АвтоВАЗа», продвижением которых, вероятно, занимался MegaIndex. Об этом он рассказал TJ.
Незакрытый Heartbleed
По словам w0rm, он подыскивал специалистов по поисковому продвижению для одного из своих проектов и наткнулся на сервис MegaIndex для командной работы. На
сервиса утверждается, что он позволяет «легко и удобно вести бизнес в интернете», в том числе администрировать SEO-кампании.
Проверив безопасность сайта проекта, w0rm выяснил, что он до сих пор подвержен известной уязвимости под названием Heartbleed. Она была весной 2014 года: по словам экспертов, Heartbleed поставил под угрозу безопасность сотен тысяч сайтов, а неизвестные хакеры , что с помощью бага им удалось получить доступ к данным банковских карт клиентов РЖД.
В MegaIndex уязвимость не закрыли, благодаря чему w0rm сделал дамп памяти и получил логин и пароль к администрированию проекта. Так ему удалось войти в личный кабинет Николая Хиврина, гендиректора ALTWeb Group, владеющей компанией MegaIndex, а также узнать содержимое базы данных сайта.
Команда MegaIndex использовала программу мониторинга рабочего времени, которая по расписанию делает скриншоты рабочих столов всех сотрудников. Это позволило w0rm получить все необходимые ключи доступа.
«У меня по-другому не получилось попасть вовнутрь, а имея доступы к FTP со скриншотов рабочих столов разработчиков, получить доступ намного проще», — заявил хакер.
Какие данные удалось получить
В компании хранили данные доступа к клиентским сайтам в открытом виде — в базе SQL. Всего w0rm смог найти более 14 тысяч логинов и паролей (есть в распоряжении TJ).
По словам хакера, валидность базы данных составляет примерно 60%. Проверка TJ показала, что часть из представленных в базе пар логинов и паролей действительно работают, часть — нет. Обычно компании отзывают доступы SEO-подрядчиков после завершения контракта на продвижение.
Помимо этого, w0rm получил доступ и ко всей базе данных самого MegaIndex. По его словам, в ней содержалось около 250 тысяч пар логинов и хэшей паролей (MD5), 90% из которых расшифровались за первые сутки. Кроме этого он обнаружил в одной из таблиц данные о платежах и кредитных картах.
Хакер заявил, что в MegaIndex не ответили на его письмо с информацией об уязвимости, отправленное на адрес [email protected] и конкретным сотрудникам через «ВКонтакте».
Сайты «АвтоВАЗа» и доступ к базе бухгалтерии
Самым крупным проектом, к которому w0rm удалось получить доступ, стал головной сайт «АвтоВАЗа» — lada.ru, а также старые адреса avtovaz.ru и vaz.ru, которые перенаправляют на новый портал. Всего хакер опубликовал список из более 30 доменов и поддоменов, содержимое которых он мог редактировать.
По словам w0rm, он мог не только менять данные на сайтах «АвтоВАЗа», но и управлять служебной базой данных компании, влияя на работу её региональных отделений.
w0rm заявил, что писал по адресу [email protected] о найденной уязвимости ещё в середине ноября (тогда он начал изучать безопасность сайта MegaIndex), однако ответа не получил.
Позиция «АвтоВАЗа» и MegaIndex
Советник президента «АвтоВАЗа» Алексей Агуреев в ответ на запрос TJ от комментариев отказался. PR-директор «АвтоВАЗА» Сергей Ильинский заявил, что в компании изучают ситуацию.
Спустя несколько часов после обращения TJ в «АвтоВАЗе» ограничили доступ извне к администраторскому интерфейсу сайтов, заявил w0rm.
В разговоре с TJ гендиректор ALTWeb Group Николай Хиврин заявил, что к «АвтоВАЗу» его компания «никакого отношения не имеет и с ним не работала». По его словам, недавно у MegaIndex «была небольшая проблема с одним из компьютеров: с ней уже разобрались, а злоумышленника вычислили».
По словам Хиврина, он был в курсе, что за взломом стоял w0rm, так как его сотрудники собрали данные о хакере после «определённых действий». По данным главы ALTWeb Group, продвижением системы для совместной работы team.megaindex.ru они не занимаются уже два года, так как проект не оправдал себя коммерчески, и пользователей у него «мало».
Хиврин также попросил «не помогать подобным личностям с пиаром, так как это вредит всей индустрии».
По словам w0rm, вознаграждение за найденную уязвимость просил не он, а второй хакер, вместе с которым он занимался исследованием безопасности проекта.
1 декабря «АвтоВАЗ» рекламную кампанию, приуроченную к выходу автомобиля Lada Vesta. В рекламном ролике производитель рассказал о любви к Родине и семейных ценностях, а также впервые использовал новый слоган: «Есть только один путь. Свой».
Незакрытый Heartbleed
Проверив безопасность сайта проекта, w0rm выяснил, что он до сих пор подвержен известной уязвимости под названием Heartbleed. Она была весной 2014 года: по словам экспертов, Heartbleed поставил под угрозу безопасность сотен тысяч сайтов, а неизвестные хакеры , что с помощью бага им удалось получить доступ к данным банковских карт клиентов РЖД.
В MegaIndex уязвимость не закрыли, благодаря чему w0rm сделал дамп памяти и получил логин и пароль к администрированию проекта. Так ему удалось войти в личный кабинет Николая Хиврина, гендиректора ALTWeb Group, владеющей компанией MegaIndex, а также узнать содержимое базы данных сайта.
«У меня по-другому не получилось попасть вовнутрь, а имея доступы к FTP со скриншотов рабочих столов разработчиков, получить доступ намного проще», — заявил хакер.
В компании хранили данные доступа к клиентским сайтам в открытом виде — в базе SQL. Всего w0rm смог найти более 14 тысяч логинов и паролей (есть в распоряжении TJ).
По словам хакера, валидность базы данных составляет примерно 60%. Проверка TJ показала, что часть из представленных в базе пар логинов и паролей действительно работают, часть — нет. Обычно компании отзывают доступы SEO-подрядчиков после завершения контракта на продвижение.
Помимо этого, w0rm получил доступ и ко всей базе данных самого MegaIndex. По его словам, в ней содержалось около 250 тысяч пар логинов и хэшей паролей (MD5), 90% из которых расшифровались за первые сутки. Кроме этого он обнаружил в одной из таблиц данные о платежах и кредитных картах.
Хакер заявил, что в MegaIndex не ответили на его письмо с информацией об уязвимости, отправленное на адрес [email protected] и конкретным сотрудникам через «ВКонтакте».
Сайты «АвтоВАЗа» и доступ к базе бухгалтерии
Самым крупным проектом, к которому w0rm удалось получить доступ, стал головной сайт «АвтоВАЗа» — lada.ru, а также старые адреса avtovaz.ru и vaz.ru, которые перенаправляют на новый портал. Всего хакер опубликовал список из более 30 доменов и поддоменов, содержимое которых он мог редактировать.
w0rm заявил, что писал по адресу [email protected] о найденной уязвимости ещё в середине ноября (тогда он начал изучать безопасность сайта MegaIndex), однако ответа не получил.
Позиция «АвтоВАЗа» и MegaIndex
Советник президента «АвтоВАЗа» Алексей Агуреев в ответ на запрос TJ от комментариев отказался. PR-директор «АвтоВАЗА» Сергей Ильинский заявил, что в компании изучают ситуацию.
Спустя несколько часов после обращения TJ в «АвтоВАЗе» ограничили доступ извне к администраторскому интерфейсу сайтов, заявил w0rm.
В разговоре с TJ гендиректор ALTWeb Group Николай Хиврин заявил, что к «АвтоВАЗу» его компания «никакого отношения не имеет и с ним не работала». По его словам, недавно у MegaIndex «была небольшая проблема с одним из компьютеров: с ней уже разобрались, а злоумышленника вычислили».
По словам Хиврина, он был в курсе, что за взломом стоял w0rm, так как его сотрудники собрали данные о хакере после «определённых действий». По данным главы ALTWeb Group, продвижением системы для совместной работы team.megaindex.ru они не занимаются уже два года, так как проект не оправдал себя коммерчески, и пользователей у него «мало».
Хиврин также попросил «не помогать подобным личностям с пиаром, так как это вредит всей индустрии».
По словам w0rm, вознаграждение за найденную уязвимость просил не он, а второй хакер, вместе с которым он занимался исследованием безопасности проекта.
1 декабря «АвтоВАЗ» рекламную кампанию, приуроченную к выходу автомобиля Lada Vesta. В рекламном ролике производитель рассказал о любви к Родине и семейных ценностях, а также впервые использовал новый слоган: «Есть только один путь. Свой».
