Тривиальная уязвимость стала причиной взлома Минбезопасности США

Posted: Январь 8, 2013 in Интернет

anonymous-vs-dhsГруппа хакеров NullCrew скомпрометировала правительственный портал при помощи уязвимости обхода каталога.

Web-сайт американского Министерства внутренней безопасности (Department of Homeland Security, DHS) был скомпрометирован группой хакеров NullCrew, использовавшей для взлома уязвимость обхода каталога. К такому выводу пришли эксперты по информационной безопасности из компании Sophos, принимавшие участие в расследовании инцидента.

4 января 2013 года на своей странице в социальной сети Twitter представители хакерской группировки сообщили о взломе web-ресурса studyinthestates.dhs.gov. Указанный портал специализируется на консультировании иностранцев по вопросам получения образования в американских школах и ВУЗах.

По словам Пола Даклина (Paul Ducklin) из Sophos, уязвимость, которую проэксплуатировали злоумышленники, позволяла посетителям web-сайта получить доступ к файловой системе сервера и, соответственно, раскрыть конфиденциальную информацию.

Соответствующее сообщение NullCrew с подтверждением факта взлома было опубликовано и позже удалено в сервисе Pastebin. В настоящий момент копия данного сообщения доступна в кеше поисковика Google.

Даклин также отметил, что кроме указанной им уязвимости, у ресурса есть такие проблемы, как использование устаревших версий Apache и PHP, что также представляет серьезную угрозу безопасности сайта.

Реклама

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s