Наличие уязвимости поставило под угрозу сотни тысяч сайтов различных компаний, в том числе и сайты Автоваза. Кроме того, хакер заявлял Руководству о том, что уязвимость обеспечила доступ и к данным банковских карт клиентов РЖД.
Хакер выполнил дамп памяти и получил данные для входа в панель администрирования. Там w0rm вошел в личный кабинет Николая Хиврина, генерального директора ALTWeb Group, владеющей компанией MegaIndex, и смог проанализировать содержимое базы данных сайта. Уязвимости есть в любом проекте. Нам постоянно пишут «хакеры», которые якобы что-то находят. Как правило, это школьники, которые находят незначительные уязвимости. Мы на них не обращаем внимания.
Выяснилось, что MegaIndex пользовалась системой мониторинга рабочего времени сотрудников, автоматически делавшей скриншоты рабочих столов по расписанию. Всё это в совокупности дало хакеру все нужные ему ключи доступа к сайтам «АвтоВАЗа» (lada.ru, а также старым адресам avtovaz.ru и vaz.ru) и ещё 30 доменам и поддоменам.
Имея доступы к FTP со скриншотов рабочих столов разработчиков, получить доступ намного проще.
Данные для доступа к сайтам клиентов на ресурсе MegaIndex хранились в базе SQL в открытом виде. Хакер заявил, что в его распоряжении оказалось 14 тысяч пар «логин – пароль», причем валидность базы составляет около 60%.
Наличие доступа ко всей базе данных самого MegaIndex дало киберпреступнику ещё 250 тысяч пар логинов и хэшей паролей MD5, и за первые сутки удалось расшифровать md5 если пароль был из цифр (например: 12345… нет ничего проще — перебором). В одной из таблиц базы SQL хакер обнаружил данные о кредитных картах клиентов и совершенных платежах.
Содержимое доменов, к которым w0rm получил доступ, он смог свободно редактировать. Кроме того, хакер располагал возможностью изменения служебной базы данных «АвтоВАЗа», через которую можно влиять на работу региональных отделений компании и бухгалтерию.
Оригинальная новость: https://hi-tech.mail.ru/news/avtovaz/