9:58
23/12/2009

Intel trzyma hasła w czystym tekscie…

Autor: igH | Tagi:  

Unu, rumuński cracker, który niedawno załatwił Symanteca, a odrobinę wcześniej Kaspersky’ego, powraca. Tym razem celem był Intel.

Unu punktuje:

  • jeden z użytkowników bazy MySQL ma możliwość logowania się z dowolnego adresu IP
  • Intel nie zaszyfrował hasła administratora
  • konfiguracja serwera pozwala na użycie load_file do wrzucenia i wykonania dowolnego kodu
  • na serwerze przechowywane są niezabezpieczone numery i dane z kart kredytowych

No cóż, końcówka grudnia to chyba ciągłe pasmo wtop bezpieczeństwa… Sami zebraliśmy pokaźną kolekcję polskich serwisów nie szyfrujących haseł. Niebawem zaczniemy piętnujący cykl postów ;>

Przeczytaj także:

 
Niebezpiecznik

8 komentarzy

Dodaj komentarz
  1. Łukasz P. 2009.12.23 11:18 | # | Reply

    Najpierw Kaspersky,potem Symantec a teraz Intel.Już o wycieku z naszych serwisów w Polsce nie wspomne.Nie ma to jak dbać o bezpieczeństwo swoich klientów/użytkowników:)

  2. bibi88bibi 2009.12.23 12:56 | # | Reply

    Taak, ale większość takich rzeczy dzieje się z winy człowieka i jego niekompetencji, a nie z oprogramowania. Tak jak było w przypadku Wykopu, skopiowali wszystko na testowy serwer no normalnie, genialne! :)

  3. Darek 2009.12.23 13:09 | # | Reply

    Edukacja nie przynosi rezultatów, to może terapia wstrząsowa podziała. Obawiam się jednak, że cała sprawa skończy się ujęciem unu i zastraszeniem potencjalnych naśladowców.

  4. unu 2009.12.23 23:41 | # | Reply

    :)

  5. Krzysiek 2009.12.26 09:52 | # | Reply

    Z tego wynika jedna rada. Jak najlepiej zabezpieczyć serwer? Wyłączyć mu dostęp do internetu.

  6. Tomasz Kowalczyk 2009.12.30 14:41 | # | Reply

    Zawsze mogą go wykraść z data center, lepiej trzymać w skarpecie. ;]

  7. » Gratka.pl nie szyfruje haseł użytkowników -- Niebezpiecznik.pl -- 2010.01.06 19:25 | # | Reply

    […] serwisu — wychodzimy jednak z założenia, że warto dmuchać na zimne. Nigdy nie ma pewności, że gdzieś w serwisie nie czai się błąd typu SQL-injection, dający atakującemu dostęp do […]

  8. » Jeden 0day na Wordpressa i leżymy! -- Niebezpiecznik.pl -- 2010.10.12 11:59 | # | Reply

    […] że dziury w serwisach internetowych często zdarzają się tym największym i kojarzonym z działką IT Security (por. udane ataki na Google). Błędy XSS, którymi ostatnio wszyscy tak mocno się […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: