Κυβερνοεπίθεση στην Εθνική Ασφαλιστική από τον Delirium
23:36 14/11/2011
- Πηγή: Ksipnistere
Μετά την πρόσφατη αδυναμία που εντόπισε ο πολυπράγμων hacker DeLiRiUm στην Interamerican , συνεχίζει την δραστηριότητα του εναντίον των ασφαλιστικών εταιρειών εξαπολύοντας νέα ισχυρή κυβερνοεπίθεση στην Εθνική Ασφαλιστική. Η Εθνική Ασφαλιστική είναι θυγατρική
εταιρεία της Εθνικής Τράπεζας,του μεγαλύτερου Ελληνικού Τραπεζικού Ομίλου. Σύμφωνα με ανώνυμη πληροφορία που απεστάλη στο e-mail επικοινωνίας του SecNews, ο hacker με το ψευδώνυμο DeLiRiUm κατόρθωσε να....
αποκτήσει πλήρη πρόσβαση στον εξυπηρετητή της ιστοσελίδας της Εθνικής Ασφαλιστικής. Οι λεπτομέρειες της επίθεσης δημοσιοποιήθηκαν
στο γνωστό για την χρήση του από τους hackers Pastie, στον παρακάτω σύνδεσμο [εδώ]. Screenshot μπορείτε να δείτε παρακάτω:
Όπως διακρίνουμε παραπάνω ο DeLiRiUm με χρήση SQL Injection άντλησε τα ονόματα των διαθέσιμων βάσεων δεδομένων καθώς και ονόματα και δεδομένα των σχετικών πινάκων της βάσης που υποστηρίζει την ιστοσελίδα. Επιπλέον εντόπισε τους κωδικούς διαχειριστών της ιστοσελίδας (passwords) των οποίων η εύρεση είναι ιδιαίτερα εύκολη χρησιμοποιώντας την ίδια αδυναμία. Σημαντικό είναι ότι οι κωδικοί είναι εξαιρετικά εύκολοι και προβλέψιμοι ενώ δεν τηρούν τα απαραίτητα κριτήρια περί πολυπλοκότητας των κωδικών πρόσβασης (σύμβολα-αριθμούς-γράμματα-μικρά & κεφαλαία).
Ο DeLiRiUm σε συνέχεια του μηνύματός του αναφέρει ότι εντοπίστηκε μεγάλος αριθμός αδυναμιών Web εφαρμογών στην ιστοσελίδα (όλα τα γνωστά είδη – SQL Injection,Blind SQL Injection,Cross Site Scripting, XPath Injection). Στο SecNews δεν κοινοποιήθηκαν οι αδυναμίες της ιστοσελίδας που χρησιμοποιήθηκαν για να επιτευχθεί η πρόσβαση.
Ως απόδειξη των ισχυρισμών του προχώρησε σε αλλοίωση εσωτερικού συνδέσμου της ιστοσελίδας της Εθνικής Ασφαλιστικής [δείτε εδώ] . Το Screenshot της επίθεσης φαίνεται παρακάτω:
O DeLiRiUm ανάρτησε το ανωτέρω μήνυμα προς την Εθνική Ασφαλιστική σε άκρως επιθετικό και ειρωνικό ύφος, υποδεικνύοντας με δυναμικό τρόπο τις αδυναμίες που εντόπισε. Αναφέρει χαρακτηριστικά καταδυκνείοντας τις ελλείψεις που εντόπισε : «H tragikh eirwneia einai pws «poulate» asfaleies mi exontas ip’opshn sas oti to o oros «asfaleia» sthn istoselida pou antiproswpevei tin etaireia sas einai aniparktos.»
Σημαντικό είναι το γεγονός ότι δεν προχώρησε σε συνολική αλλοίωση της κεντρικής ιστοσελίδας της εταιρείας, αλλά ενός και μόνο εσωτερικού συνδέσμου με αποκλειστικό στόχο όπως είναι σαφές να αναρτήσει το μήνυμα του προς την εταιρεία.
Από τα εκτεθειμένα δεδομένα δεν αποδεικνύεται οτι η επίθεση εξέθεσε δεδομένα πελατών της Εθνικής Ασφαλιστικής ή ότι επηρεάστηκαν εσωτερικά συστήματα της εταιρείας ή του Ομίλου των εταιρειών.
Σε κάθε περίπτωση οι αρμόδιοι πρέπει να πάρουν άμεσα μέτρα για την επιδιόρθωση της ιστοσελίδας και να αναλύσουν το σύνολο των πιθανών αδυναμιών που ο Hacker αναφέρει ότι εντόπισε.
Σημείωση Τεχνικής ομάδας SecNews: Δεν ήταν εφικτό να επιβεβαιώσουμε τους κωδικούς που υποδεικνύει ο DeLiRiUm την στιγμή που γραφόταν αυ
αποκτήσει πλήρη πρόσβαση στον εξυπηρετητή της ιστοσελίδας της Εθνικής Ασφαλιστικής. Οι λεπτομέρειες της επίθεσης δημοσιοποιήθηκαν
στο γνωστό για την χρήση του από τους hackers Pastie, στον παρακάτω σύνδεσμο [εδώ]. Screenshot μπορείτε να δείτε παρακάτω:
Όπως διακρίνουμε παραπάνω ο DeLiRiUm με χρήση SQL Injection άντλησε τα ονόματα των διαθέσιμων βάσεων δεδομένων καθώς και ονόματα και δεδομένα των σχετικών πινάκων της βάσης που υποστηρίζει την ιστοσελίδα. Επιπλέον εντόπισε τους κωδικούς διαχειριστών της ιστοσελίδας (passwords) των οποίων η εύρεση είναι ιδιαίτερα εύκολη χρησιμοποιώντας την ίδια αδυναμία. Σημαντικό είναι ότι οι κωδικοί είναι εξαιρετικά εύκολοι και προβλέψιμοι ενώ δεν τηρούν τα απαραίτητα κριτήρια περί πολυπλοκότητας των κωδικών πρόσβασης (σύμβολα-αριθμούς-γράμματα-μικρά & κεφαλαία).
Ο DeLiRiUm σε συνέχεια του μηνύματός του αναφέρει ότι εντοπίστηκε μεγάλος αριθμός αδυναμιών Web εφαρμογών στην ιστοσελίδα (όλα τα γνωστά είδη – SQL Injection,Blind SQL Injection,Cross Site Scripting, XPath Injection). Στο SecNews δεν κοινοποιήθηκαν οι αδυναμίες της ιστοσελίδας που χρησιμοποιήθηκαν για να επιτευχθεί η πρόσβαση.
Ως απόδειξη των ισχυρισμών του προχώρησε σε αλλοίωση εσωτερικού συνδέσμου της ιστοσελίδας της Εθνικής Ασφαλιστικής [δείτε εδώ] . Το Screenshot της επίθεσης φαίνεται παρακάτω:
O DeLiRiUm ανάρτησε το ανωτέρω μήνυμα προς την Εθνική Ασφαλιστική σε άκρως επιθετικό και ειρωνικό ύφος, υποδεικνύοντας με δυναμικό τρόπο τις αδυναμίες που εντόπισε. Αναφέρει χαρακτηριστικά καταδυκνείοντας τις ελλείψεις που εντόπισε : «H tragikh eirwneia einai pws «poulate» asfaleies mi exontas ip’opshn sas oti to o oros «asfaleia» sthn istoselida pou antiproswpevei tin etaireia sas einai aniparktos.»
Σημαντικό είναι το γεγονός ότι δεν προχώρησε σε συνολική αλλοίωση της κεντρικής ιστοσελίδας της εταιρείας, αλλά ενός και μόνο εσωτερικού συνδέσμου με αποκλειστικό στόχο όπως είναι σαφές να αναρτήσει το μήνυμα του προς την εταιρεία.
Από τα εκτεθειμένα δεδομένα δεν αποδεικνύεται οτι η επίθεση εξέθεσε δεδομένα πελατών της Εθνικής Ασφαλιστικής ή ότι επηρεάστηκαν εσωτερικά συστήματα της εταιρείας ή του Ομίλου των εταιρειών.
Σε κάθε περίπτωση οι αρμόδιοι πρέπει να πάρουν άμεσα μέτρα για την επιδιόρθωση της ιστοσελίδας και να αναλύσουν το σύνολο των πιθανών αδυναμιών που ο Hacker αναφέρει ότι εντόπισε.
Σημείωση Τεχνικής ομάδας SecNews: Δεν ήταν εφικτό να επιβεβαιώσουμε τους κωδικούς που υποδεικνύει ο DeLiRiUm την στιγμή που γραφόταν αυ
Keywords
εθνικη, εθνικη ασφαλιστικη, hacker, interamerican, νέα, θυγατρική, εταιρεία, hackers, sql, injection, web, site, sas, tin, εθνικη τραπεζα, τραπεζες, sql, ονοματα, mail, αδυναμια, γεγονος, δειτε, δυναμικο, εταιρεία, ιδια, υφος, θυγατρική, θυγατρικη εταιρεια, λεπτομερειες, μπορειτε, συνεχεια, blind, cross, ειδη, web, hacker, ιδιαιτερα, injection, interamerican, κωδικοι, sas, site, tin, hackers
Τυχαία Θέματα
- Δημοφιλέστερες Ειδήσεις Κατηγορίας Blogs
- Η εγκύκλιος για συνταξιοδοτικές ρυθμίσεις, ενιαίο μισθολόγιο-βαθμολόγιο και εργασιακή εφεδρεία
- Το νέο μισθολόγιο- βαθμολόγιο στο Δημόσιο - Στα 780 ευρώ ο κατώτερος μισθός
- Jumbo κοροϊδία!
- Φτιάξτε σπιτική σαγκρία
- Επιταγή (voucher) Αρχικής Επαγγελματικής Κατάρτισης
- Οι δήμοι που δεν πληρώνουν το χαράτσι της ΔΕΗ
- Βρέθηκε η αληθινή .... Barbie
- Απαράδεκτο service στο κατάστημα Γερμανός στο Ψυχικό
- "Μαθήματα Συνταγματικού Δικαίου" σε ένα συνταγματολόγο
- Δημοφιλέστερες Ειδήσεις Ksipnistere
- Jumbo κοροϊδία!
- "Μαθήματα Συνταγματικού Δικαίου" σε ένα συνταγματολόγο
- ΣΤΑ ΧΝΑΡΙΑ ΤΟΥ ΡΗΓΑ ΦΕΡΑΙΟΥ Ο ΝΕΟΣ ΘΟΥΡΙΟΣ
- Κυβερνοεπίθεση στην Εθνική Ασφαλιστική από τον Delirium
- Πολυτεχνείο 2011
- ΔΙΕΓΡΑΨΕΣ ΤΟΝ ΓΡΑΦΙΚΟ ΧΑΤΖΗΓΑΚΗ ΚΑΙ ΧΕΣΤΗΚΕ Η ΦΟΡΑΔΑ ΣΤΑ ΛΩΝΙ…
- Αρχαίο Ελληνικό Ανέκδοτο, αφιερωμένο στους κυβερνητικούς άρχοντες του ΛΑ.Ο.Σ
- ΤΟ ΠΛΑΣΤΟ ΔΙΛΛΗΜΑ ΕΥΡΩ Ή ΔΡΑΧΜΗ
- Ας πάμε στη δραχμή να τελειώνουμε...
- ΑΓΓΛΙΚΑ ΓΙΑ ΕΝΗΛΙΚΕΣ: σύντομο και οικονομικό πρόγραμμα για απόκτηση LOWER, με άμεση έναρξη.
- Τελευταία Νέα Ksipnistere
- Κυβερνοεπίθεση στην Εθνική Ασφαλιστική από τον Delirium
- Και οι Τριακόσιοι είναι ανίκανοι να δώσουν Ελπίδα
- Δηλώσεις-φωτιὰ καὶ πάλι ἀπὸ τὸν Μητροπολίτη Κονίτσης κ. Ἀνδρέα
- Ερωτήματα που ζητούν απαντήσεις..
- Ο θίασος αναβαθμίστηκε και έγινε … τσίρκο!!!
- Μικροί Συνταγματολόγοι: 15
- Ας πάμε στη δραχμή να τελειώνουμε...
- Κομματισμός.......... (στη κυριολεξία !!!)
- Σφίξτε κι άλλο τις (ευρω) ζώνες σας...
- Τελευταία Νέα Κατηγορίας Blogs
- Βρώμικο πληκτρολόγιο μια ιστορία που σηκώνει πολύ αέρα
- Σε τρεις φάσεις η αναδιάρθρωση των δημόσιων υπηρεσιών
- Το παλιότερο ξενοδοχείο στον κόσμο λειτουργεί επί 1294 χρόνια συνεχώς
- Γρονθοκόπησαν ανηλεώς ηλικιωμένο μέσα στο σπίτι του για να τον ληστέψουν
- Ντ. Μπακογιάννη: Ο Σαμαράς δεν ήθελε τη ΔΗΣΥ στην κυβέρνηση
- Έκρηξη στο γραφείο της Μ. Ξενογιαννακοπούλου
- Eιναι ανόητοι αυτοί που σας τα λένε! Ο λαϊκισμός θα πεθάνει...
- Οικ. Πράσινοι: "Ίδια συνταγή" οι προγραμματικές δηλώσεις της κυβέρνησης Παπαδήμου
- Απάντηση: Αγρότες και επιδοτήσεις