Технологии
Никита Лихачёв

Хакер получил доступ к сайтам «АвтоВАЗа» через уязвимость в чужой системе совместной работы

Русскоязычный хакер, известный под ником w0rm, через уязвимость Heartbleed получил доступ к сервису для командной работы и управления SEO-проектами онлайн MegaIndex. Это позволило ему найти информацию о логинах и паролях к администрированию официальными сайтами «АвтоВАЗа», продвижением которых, вероятно, занимался MegaIndex. Об этом он рассказал TJ.

Незакрытый Heartbleed

Начало продаж Lada Vesta в Тольятти. Фото «Семь вёрст»

По словам w0rm, он подыскивал специалистов по поисковому продвижению для одного из своих проектов и наткнулся на сервис MegaIndex для командной работы. На сайте сервиса утверждается, что он позволяет «легко и удобно вести бизнес в интернете», в том числе администрировать SEO-кампании.

Проверив безопасность сайта проекта, w0rm выяснил, что он до сих пор подвержен известной уязвимости под названием Heartbleed. Она была обнаружена весной 2014 года: по словам экспертов, Heartbleed поставил под угрозу безопасность сотен тысяч сайтов, а неизвестные хакеры утверждали, что с помощью бага им удалось получить доступ к данным банковских карт клиентов РЖД.

В MegaIndex уязвимость не закрыли, благодаря чему w0rm сделал дамп памяти и получил логин и пароль к администрированию проекта. Так ему удалось войти в личный кабинет Николая Хиврина, гендиректора ALTWeb Group, владеющей компанией MegaIndex, а также узнать содержимое базы данных сайта.

Команда MegaIndex использовала программу мониторинга рабочего времени, которая по расписанию делает скриншоты рабочих столов всех сотрудников. Это позволило w0rm получить все необходимые ключи доступа.

«У меня по-другому не получилось попасть вовнутрь, а имея доступы к FTP со скриншотов рабочих столов разработчиков, получить доступ намного проще», — заявил хакер.

Какие данные удалось получить

В компании хранили данные доступа к клиентским сайтам в открытом виде — в базе SQL. Всего w0rm смог найти более 14 тысяч логинов и паролей (есть в распоряжении TJ).

По словам хакера, валидность базы данных составляет примерно 60%. Проверка TJ показала, что часть из представленных в базе пар логинов и паролей действительно работают, часть — нет. Обычно компании отзывают доступы SEO-подрядчиков после завершения контракта на продвижение.

Помимо этого, w0rm получил доступ и ко всей базе данных самого MegaIndex. По его словам, в ней содержалось около 250 тысяч пар логинов и хэшей паролей (MD5), 90% из которых расшифровались за первые сутки. Кроме этого он обнаружил в одной из таблиц данные о платежах и кредитных картах.

Хакер заявил, что в MegaIndex не ответили на его письмо с информацией об уязвимости, отправленное на адрес [email protected] и конкретным сотрудникам через «ВКонтакте».

Получив доступы к разработкам и основным проектам MegaIndex, я написал им репорт, но ответа не получил. Решил изучать их клиентов и уведомить их о найденных уязвимостях.

хакер w0rm

Сайты «АвтоВАЗа» и доступ к базе бухгалтерии

Самым крупным проектом, к которому w0rm удалось получить доступ, стал головной сайт «АвтоВАЗа» — lada.ru, а также старые адреса avtovaz.ru и vaz.ru, которые перенаправляют на новый портал. Всего хакер опубликовал список из более 30 доменов и поддоменов, содержимое которых он мог редактировать.

По словам w0rm, он мог не только менять данные на сайтах «АвтоВАЗа», но и управлять служебной базой данных компании, влияя на работу её региональных отделений.

База данных, к слову, единая, и в ней регулируется внутренняя бухгалтерия. Изменив пару значений, можно было бы отправить больше машин в определённый город или списать часть из них.

хакер w0rm

w0rm заявил, что писал по адресу [email protected] о найденной уязвимости ещё в середине ноября (тогда он начал изучать безопасность сайта MegaIndex), однако ответа не получил.

Позиция «АвтоВАЗа» и MegaIndex

Советник президента «АвтоВАЗа» Алексей Агуреев в ответ на запрос TJ от комментариев отказался. PR-директор «АвтоВАЗА» Сергей Ильинский заявил, что в компании изучают ситуацию.

Спустя несколько часов после обращения TJ в «АвтоВАЗе» ограничили доступ извне к администраторскому интерфейсу сайтов, заявил w0rm.

В разговоре с TJ гендиректор ALTWeb Group Николай Хиврин заявил, что к «АвтоВАЗу» его компания «никакого отношения не имеет и с ним не работала». По его словам, недавно у MegaIndex «была небольшая проблема с одним из компьютеров: с ней уже разобрались, а злоумышленника вычислили».

Cитуация обычная, так как у нас есть тестовые направления, безопасность которых может быть отработана не самым сильным образом… В данном случае проблема была с одним из поддоменов MegaIndex.

Уязвимости есть в любом проекте. Нам постоянно пишут «хакеры», которые якобы что-то находят. Как правило, это школьники, которые находят незначительные уязвимости. Мы на них не обращаем внимания.

Николай Хиврин, гендиректор ALTWeb Group

По словам Хиврина, он был в курсе, что за взломом стоял w0rm, так как его сотрудники собрали данные о хакере после «определённых действий». По данным главы ALTWeb Group, продвижением системы для совместной работы team.megaindex.ru они не занимаются уже два года, так как проект не оправдал себя коммерчески, и пользователей у него «мало».

Хиврин также попросил «не помогать подобным личностям с пиаром, так как это вредит всей индустрии».

Мы отказались ему платить за найденные небольшие проблемы. Мы вообще никому не платим за это. Явно он решил пройтись по изданиям, чтобы выразить свой негатив.

Николай Хиврин, гендиректор ALTWeb Group

По словам w0rm, вознаграждение за найденную уязвимость просил не он, а второй хакер, вместе с которым он занимался исследованием безопасности проекта.

Второй — случайный контакт из Твиттера, отписал, знаю ли я о «Мегаиндексе». Рассказал, что нашёл там Heartbleed, и предложил вместе посмотреть дальше.

На что я рассчитываю? На «дружбу» и «безопасный интернет». Я плохо вижу, что с ними выйдет что-то интересное в плане партнёрства. Пусть хоть уязвимости закроют.

хакер w0rm

1 декабря «АвтоВАЗ» запустил рекламную кампанию, приуроченную к выходу автомобиля Lada Vesta. В рекламном ролике производитель рассказал о любви к Родине и семейных ценностях, а также впервые использовал новый слоган: «Есть только один путь. Свой».

#Новость #хакеры #безопасность #автомобили #взломы #Heartbleed #w0rm #АвтоВАЗ #Lada #MegaIndex #ALTWeb_Group #Николай_Хиврин #Алексей_Агуреев #Сергей_Ильинский