Хакер получил доступ к сайтам «АвтоВАЗа» через уязвимость в чужой системе совместной работы Статьи редакции

Русскоязычный хакер, известный под ником w0rm, через уязвимость Heartbleed получил доступ к сервису для командной работы и управления SEO-проектами онлайн MegaIndex. Это позволило ему найти информацию о логинах и паролях к администрированию официальными сайтами «АвтоВАЗа», продвижением которых, вероятно, занимался MegaIndex. Об этом он рассказал TJ.

Незакрытый Heartbleed

Начало продаж Lada Vesta в Тольятти. Фото «Семь вёрст»

По словам w0rm, он подыскивал специалистов по поисковому продвижению для одного из своих проектов и наткнулся на сервис MegaIndex для командной работы. На сайте сервиса утверждается, что он позволяет «легко и удобно вести бизнес в интернете», в том числе администрировать SEO-кампании.

Проверив безопасность сайта проекта, w0rm выяснил, что он до сих пор подвержен известной уязвимости под названием Heartbleed. Она была обнаружена весной 2014 года: по словам экспертов, Heartbleed поставил под угрозу безопасность сотен тысяч сайтов, а неизвестные хакеры утверждали, что с помощью бага им удалось получить доступ к данным банковских карт клиентов РЖД.

В MegaIndex уязвимость не закрыли, благодаря чему w0rm сделал дамп памяти и получил логин и пароль к администрированию проекта. Так ему удалось войти в личный кабинет Николая Хиврина, гендиректора ALTWeb Group, владеющей компанией MegaIndex, а также узнать содержимое базы данных сайта.

Команда MegaIndex использовала программу мониторинга рабочего времени, которая по расписанию делает скриншоты рабочих столов всех сотрудников. Это позволило w0rm получить все необходимые ключи доступа.

«У меня по-другому не получилось попасть вовнутрь, а имея доступы к FTP со скриншотов рабочих столов разработчиков, получить доступ намного проще», — заявил хакер.

Какие данные удалось получить

В компании хранили данные доступа к клиентским сайтам в открытом виде — в базе SQL. Всего w0rm смог найти более 14 тысяч логинов и паролей (есть в распоряжении TJ).

По словам хакера, валидность базы данных составляет примерно 60%. Проверка TJ показала, что часть из представленных в базе пар логинов и паролей действительно работают, часть — нет. Обычно компании отзывают доступы SEO-подрядчиков после завершения контракта на продвижение.

Помимо этого, w0rm получил доступ и ко всей базе данных самого MegaIndex. По его словам, в ней содержалось около 250 тысяч пар логинов и хэшей паролей (MD5), 90% из которых расшифровались за первые сутки. Кроме этого он обнаружил в одной из таблиц данные о платежах и кредитных картах.

Хакер заявил, что в MegaIndex не ответили на его письмо с информацией об уязвимости, отправленное на адрес admin@megaindex.ru и конкретным сотрудникам через «ВКонтакте».

Получив доступы к разработкам и основным проектам MegaIndex, я написал им репорт, но ответа не получил. Решил изучать их клиентов и уведомить их о найденных уязвимостях.

хакер w0rm

Сайты «АвтоВАЗа» и доступ к базе бухгалтерии

Самым крупным проектом, к которому w0rm удалось получить доступ, стал головной сайт «АвтоВАЗа» — lada.ru, а также старые адреса avtovaz.ru и vaz.ru, которые перенаправляют на новый портал. Всего хакер опубликовал список из более 30 доменов и поддоменов, содержимое которых он мог редактировать.

По словам w0rm, он мог не только менять данные на сайтах «АвтоВАЗа», но и управлять служебной базой данных компании, влияя на работу её региональных отделений.

База данных, к слову, единая, и в ней регулируется внутренняя бухгалтерия. Изменив пару значений, можно было бы отправить больше машин в определённый город или списать часть из них.

хакер w0rm

w0rm заявил, что писал по адресу admin@company.avtovaz.ru о найденной уязвимости ещё в середине ноября (тогда он начал изучать безопасность сайта MegaIndex), однако ответа не получил.

Позиция «АвтоВАЗа» и MegaIndex

Советник президента «АвтоВАЗа» Алексей Агуреев в ответ на запрос TJ от комментариев отказался. PR-директор «АвтоВАЗА» Сергей Ильинский заявил, что в компании изучают ситуацию.

Спустя несколько часов после обращения TJ в «АвтоВАЗе» ограничили доступ извне к администраторскому интерфейсу сайтов, заявил w0rm.

В разговоре с TJ гендиректор ALTWeb Group Николай Хиврин заявил, что к «АвтоВАЗу» его компания «никакого отношения не имеет и с ним не работала». По его словам, недавно у MegaIndex «была небольшая проблема с одним из компьютеров: с ней уже разобрались, а злоумышленника вычислили».

Cитуация обычная, так как у нас есть тестовые направления, безопасность которых может быть отработана не самым сильным образом… В данном случае проблема была с одним из поддоменов MegaIndex.

Уязвимости есть в любом проекте. Нам постоянно пишут «хакеры», которые якобы что-то находят. Как правило, это школьники, которые находят незначительные уязвимости. Мы на них не обращаем внимания.

Николай Хиврин, гендиректор ALTWeb Group

По словам Хиврина, он был в курсе, что за взломом стоял w0rm, так как его сотрудники собрали данные о хакере после «определённых действий». По данным главы ALTWeb Group, продвижением системы для совместной работы team.megaindex.ru они не занимаются уже два года, так как проект не оправдал себя коммерчески, и пользователей у него «мало».

Хиврин также попросил «не помогать подобным личностям с пиаром, так как это вредит всей индустрии».

Мы отказались ему платить за найденные небольшие проблемы. Мы вообще никому не платим за это. Явно он решил пройтись по изданиям, чтобы выразить свой негатив.

Николай Хиврин, гендиректор ALTWeb Group

По словам w0rm, вознаграждение за найденную уязвимость просил не он, а второй хакер, вместе с которым он занимался исследованием безопасности проекта.

Второй — случайный контакт из Твиттера, отписал, знаю ли я о «Мегаиндексе». Рассказал, что нашёл там Heartbleed, и предложил вместе посмотреть дальше.

На что я рассчитываю? На «дружбу» и «безопасный интернет». Я плохо вижу, что с ними выйдет что-то интересное в плане партнёрства. Пусть хоть уязвимости закроют.

хакер w0rm

1 декабря «АвтоВАЗ» запустил рекламную кампанию, приуроченную к выходу автомобиля Lada Vesta. В рекламном ролике производитель рассказал о любви к Родине и семейных ценностях, а также впервые использовал новый слоган: «Есть только один путь. Свой».

{ "author_name": "Никита Лихачёв", "author_type": "self", "tags": ["\u0445\u0430\u043a\u0435\u0440\u044b","\u0441\u0435\u0440\u0433\u0435\u0439_\u0438\u043b\u044c\u0438\u043d\u0441\u043a\u0438\u0439","\u043d\u043e\u0432\u043e\u0441\u0442\u044c","\u043d\u043e\u0432\u043e\u0441\u0442\u0438","\u043d\u0438\u043a\u043e\u043b\u0430\u0439_\u0445\u0438\u0432\u0440\u0438\u043d","\u0432\u0437\u043b\u043e\u043c\u044b","\u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u044c","\u0430\u043b\u0435\u043a\u0441\u0435\u0439_\u0430\u0433\u0443\u0440\u0435\u0435\u0432","\u0430\u0432\u0442\u043e\u043c\u043e\u0431\u0438\u043b\u0438","\u0430\u0432\u0442\u043e\u0432\u0430\u0437","w0rm","megaindex","lada","heartbleed","altweb_group"], "comments": 26, "likes": 17, "favorites": 4, "is_advertisement": false, "subsite_label": "tech", "id": 56829, "is_wide": true, "is_ugc": true, "date": "Wed, 02 Dec 2015 19:03:59 +0300", "is_special": false }
0
26 комментариев
Популярные
По порядку
Написать комментарий...

Ясный шар

15

автоваз и информационные технологии не совместимы.
я думаю, первое что подумали там, когда к ним позвонил ТЖ:
- у нас есть сайт?!?!

Ответить

Комментарий удален

Неведомый супер_стар

8

не помогать подобным личностям с пиаром, так как это вредит всей индустрии

И репутации Мегаиндекса особенно.

По-хорошему за такое надо капитально попадать - проебать не только доступы от своих сервисов, но еще и доступы от ресурсов своих клиентов, это умудриться надо. Потенциальный ущерб на астрономические суммы.

Ответить

Дружеский динозавр

7

Сделал бы там одолжение АвтоВАЗУ - установил цену на Весту в 400 тыщ

Ответить

Точный рубин

4

Хакер открыл портал в ад

Ответить

Главный рубин

Иван
8

И получил за это...АВТОМОБИЛЬ

Ответить

Передний чувак

DELETED
5

Ты опять призвал моего якубовича.

Ответить

Вынужденный месяц

Иван
–1

Комментарий удален по просьбе пользователя

Ответить

Низкий цвет

2

Получил доступ к сайтам АвтоВАЗа. Вопрос: зачем?

Ответить
36

а вот прикиньте.
просыпается страна утром, а на сайте автоваза не 3 модели, а 10
там и купе нормальное и хэтчи трехдверные и минивены
и не 2 двигателя на весь ряд, а полноценная линейка с дизельными и турбироваными.
в стране праздник, люди выходят на улицу, бросают цветы, обнимают друг друга.
а потом пресс-служба АвтоВаза выпускает заявления, где пишут, что их просто взломали

Ответить

Вынужденный месяц

Максим
1

Комментарий удален по просьбе пользователя

Ответить

Замечательный фонарь

2

А насколько вообще этично просить вознаграждение в таком случае? Ну то есть с одной стороны ты сделал работу, почему бы не получить оплату, а с другой тебя никто не нанимал, и это уже похоже на вымогательств.

Ответить

Женский Орзэмэс

Ксюша
7

Этично было бы выплатить вознаграждение, закрыть уязвимость и сказать спасибо, а не игнорировать сообщения хакеров о найденной уязвимости. История бы не попала в СМИ, если бы Хиврин адекватно отреагировал на эту ситуацию и не стал нести этот детский лепет, про то, как он вычислил хакера (по ip наверно)))). Предполагаю, что репутационный и финансовый ущерб гораздо превысит выплату, которую могли бы получить хакеры. Клиенты компании не должны страдать из-за неадекватности руководства и пренебрежением элементарных правил информационной безопасности, поэтому публикация материала в СМИ, по моему мнению - правильное решение.

Ответить

Ужасный клуб

Александр
1

АвтоВАЗ

репутационный ущерб

Ответить

Женский Орзэмэс

Marat
0

Я про ALTWeb Group :)

Ответить

Интимный крюк

Ксюша
0

Это скорее как вымогательство.

Ответить

Давний яд

1

Как правило, это школьники, которые находят незначительные уязвимости

Школьники... серьезно?

Ответить

Идеологический Паша

Александр
2

Похоже Хиврин дотер, поэтому использует слово "школьник" как как самое страшное оскорбление :)

Ответить

Исполнительный пистолет

Александр
1

Задели за живое?

Ответить
0

Не, я про то, что школьники находят уязвимости. Да это ж из области фантастики, голливудской фантастики

Ответить

Комментарий удален

Энергетический самолет

0

Логичным было бы, чтобы лада вкатила мегаиндексу иск на пару лямов, чтобы о безопасности не забывали.

Но скорее всего хакера посадят и все на этом закончится

Ответить
–11

Не посадят, очередной украинец небойсь))

Ответить

Руководящий шар

Александр
11
Ответить

Минеральный нос

Александр
1

Не оценили шутку :(

«Только по результатам этой недели, украинцы:
- Забанили Мэдисона на Твиче.
- Программируют для ИГ.
- Продают оружие ИГ.
- Блокируют айфоны росиян.»

Ответить

Руководящий шар

Энергетический
–1

Не посадят.

Ответить

Избирательный ящик

0

Команда MegaIndex использовала программу мониторинга рабочего времени, которая по расписанию делает скриншоты рабочих столов всех сотрудников.

Страшный сон девелоперов.

Ответить

Божественный нос

Избирательный
1

Про мониторинг тоже посмешило. Это как раз хороший пример тем руководителям, которые хотят заниматься микро-нано менеджментом и контролировать каждую секунду работы сотрудника.
Толку от этого контроля? на большое количество сотрудников еще нанимать сотрудников. которые следят, а потом еще нанимать людей, которые следят за тем чтобы следили и бла бла бла.

А для программистов я думаю не проблема найти способы обхода мониторинга.
Банальный пример из жизни: Крупная компания. Мессенджер следит за активностью. Если мышка сколько то времени не двигается то мессенджер ставит статус "Отошел" и система
учета помечает что вот в это время человек не работал.
Итого решение: Программист написал маленькую программу. которая дергала курсор вправо влево и спокойно уходил от своего рабочего места.

Ответить
Обсуждаемое
Новости
Дочь Мизулиной нашла «системную» пропаганду наркотиков ещё у 200 блогеров после Юрия Дудя
Директор «Лиги безопасного интернета» опасается «политизации детей и молодёжи и их последующего вывода на улицы».
Москва
Собянин объявил о розыгрыше автомобилей среди москвичей, которые привьются от Covid-19 летом
В нём могут принять участие граждане, которые получат первый компонент вакцины с 14 июня до 11 июля.
Москва
В Москве во время «нерабочих дней» запретили сидеть на лавочках в парках
За нарушение грозит штраф в размере четырёх тысяч рублей.
Популярное за три дня
Новости
Дайвер из Массачусетса побывал в пасти кита и выжил — животное его выплюнуло
Несмотря на уговоры жены, он не собирается отказываться от карьеры, которой посвятил 40 лет.
Новости
Космонавта Сергея Крикалёва сняли с должности в «Роскосмосе» за критику траты бюджетных денег на съёмки фильма​
Крикалёв не согласился с планами госкорпорации отправить на МКС актрису и режиссёра.
Twitter
Это Ройзман 😂
Комментарии
null