Незащищенные базы данных

Практически каждая крупная коммерческая компания на том или ином этапе приходит к мысли о необходимости повысить уровень сервиса, предложив своим клиентам мобильное приложение. Но если компанией руководит только желание представить новый сервис, а вопросы кибербезопасности не затрагиваются ни заказчиком, ни разработчиком, то в результате получается доступная для хакеров база данных клиентов компании. Именно в такой ситуации оказалась «Amisragas», одна из трех крупнейших газовых компаний Израиля с сотнями тысяч клиентов.

Компания разработала мобильное приложение, которое, впрочем, не пользовалось большим спросом и было установлено всего несколько тысяч раз. Все началось с того, что один из пользователей в социальной сети Twitter пожаловался на то, что приложение Amisragas, для оплаты счета, просит доступ к различной информации в смартфоне. Пользователю показалось странным, что для оплаты счета приложению необходим доступ, к примеру, к фотографиям.

Сообщение попалось на глаза одному из пользователей, который является так называемым «белым хакером» –экспертом по безопасности, который использует свои навыки, чтобы помогать повысить безопасность компьютерных систем. Хакер с легкостью добрался до базы данных 300.000 клиентов компании, причем данные части клиентов включали адреса и номера удостоверений личности. Как выяснилось, приложение было уязвимо к SQL-инъекции — атаке на базу данных, которая позволяет выполнить некоторое действие, которое не планировалось создателем скрипта.

Внедрение SQL дает возможность атакующему выполнить произвольный запрос к базе данных. Например, прочитать содержимое любых таблиц, удалить, изменить или добавить данные, получить возможность чтения или записи локальных файлов и выполнения произвольных команд на атакуемом сервере. Взлом приложения Amisragas позволил получить имя клиента, показания счетчика и сумму счета. Десятки тысяч счетов содержали номер удостоверения личности, что по определению превращает базу данных в «особую».


Выяснилось, что хотя приложение требует при входе введения номера удостоверения личности, но оно никак не защищено от классической brute force атаки — получение доступа пользователей путем многократных попыток угадать номер удостоверения личности. Но и это еще не все. Как выяснилось, теоретически (практическая проверка не проводилась) взломщик может изменить внесенные показания счетчика, обнулив либо увеличив счет за газ.

Издание TheMarker, получившее информацию о незащищенности приложения, обратилось с запросом в Amisragas и приложение было немедленно отключено. Газовая компания сообщила о проведении проверки.

Несколько недель назад с подобной проблемой столкнулась компания «Итуран», предоставляющая комплекс услуг по обнаружению украденных автомобилей. Как выяснилось, «Итуран» подключила базу данных к интернету, не установив надлежащую защиту от несанкционированного вторжения. В результате база данных, включающая в себя данные банковских счетов клиентов, индивидуальные регистрационные знаки автомобилей, номера удостоверений личности и многое другое, была доступна взлому. К счастью для компании и ее клиентов, о проблемах в защите базы данных также сообщил «белый хакер», в результате чего в «Итуран» приняли необходимые меры.

К сожалению, далеко не все хакеры являются «белыми», а практика показывают, что израильские коммерческие компании не уделяют кибербезопасности должного внимания и их базы данных могут стать легкой добычей для взломщиков.

Олег Каль, НЭП. Фотография Boulanger Damien, FreeImages.com

Метки:


Читайте также