Donosimy, że strony internetowe europejskich klubów reprezentacji Włoch, Hiszpanii, Grecji, Cypru, Niemiec oraz Holandii zostały zhackowane.
Zgodnie z ich doniesieniami Unia Europejskich Związków Piłkarskich również została zaatakowana.
Jakie dane wyciekły? Ich typy:
- Nazwa oraz hasło administratora.
- Nazwa, hasło administratora oraz nazwa hostów.
- Nazwy użytkowników i hasła.
- Nazwy użytkowników i adresy email.
- Nazwy użytkowników, hasła, adresy email, adresy ip użytkowników, rodzaje użytkowników.
- Nazwy użytkowników, Pełne nazwy, hasła.
- Nazwy użytkowników, Pełne nazwy, emaile, pełne adresy, numery telefonów, numery kart kredytowych, nazwy banków, numery kont bankowych.
- Pełne nazwy, nazwy szkół, adresy email, numery telefonów.
Ogłoszone już zostały miejsca podatne na atak, nie ujawniono jednak jeszcze pobranych na poniższych stronach danych:
- Blog fanowski o nazwie zbliżonej do UEFA Euro 2012.
- Strona stadionu piłkarskiego – oficjalny stadion EURO 2012.
- Blog: nazwa użytkownika, email, hasło, miasto, ulubiony klub sportowy, identyfikator społecznościowy.
- Stadion: nazwa, hasło, telefon, email.
- Być może inne. W tej chwili nie byliśmy w stanie tego sprawdzić. Płacąc za bilet mogłeś pozostawić tam dane twojej karty kredytowej lub innych danych bankowości.
W jaki sposób odbył się atak?
- Metoda: SQL Injection, CRLF Injection
SQL InjectionLuka w zabezpieczeniach aplikacji webowskich. Polega ona na nieodpowiednim zastosowaniu filtrów lub niewłaściwego typowania najczęściej danych wprowadzanych przez formularze na stronie. Dane zamieniane na zapytania SQL mogą modyfikować, kasować, dodawać, poprawiać dane w bazach danych portali internetowych. Wynika to najczęściej z braku wyobraźni lub słabych umiejętności programisty.
CRLF InjectionAtakujący może przygotować atak cross-site scripting i więcej exploitów wykorzystując tę technikę. Wysyła specjalnie spreparowane zapytania http w celu zmanipulowania odpowiedzi serwerów www. - Sporządzono szczegółową instrukcję ataku na jeden z serwisów i udało nam się powtórzyć próbę ataku.
Cel ataku. Co motywowało do jego przeprowadzenia?
- Zabawa i przyjemność, wykorzystując czas jednej z większych imprez sportowych.
- "Zemsta" na klubach sportowych zarabiających krocie w czasie kryzysu ekonomicznego, który pogrąża ludzi ze średniej klasy społecznej. Potwierdza to opublikowana przez potencjalnego włamywacza informacja 12. czerwca 2012 roku.
Komentarze
Publikowanie komentarza