Рубрика развивается при поддержке HP logo intel logo Advertisement

Хакер получил доступ к сайтам «АвтоВАЗа» через уязвимость в чужой системе совместной работы Статьи редакции

Русскоязычный хакер, известный под ником w0rm, через уязвимость Heartbleed получил доступ к сервису для командной работы и управления SEO-проектами онлайн MegaIndex. Это позволило ему найти информацию о логинах и паролях к администрированию официальными сайтами «АвтоВАЗа», продвижением которых, вероятно, занимался MegaIndex. Об этом он рассказал TJ.

Незакрытый Heartbleed

Начало продаж Lada Vesta в Тольятти. Фото «Семь вёрст»

По словам w0rm, он подыскивал специалистов по поисковому продвижению для одного из своих проектов и наткнулся на сервис MegaIndex для командной работы. На сайте сервиса утверждается, что он позволяет «легко и удобно вести бизнес в интернете», в том числе администрировать SEO-кампании.

Проверив безопасность сайта проекта, w0rm выяснил, что он до сих пор подвержен известной уязвимости под названием Heartbleed. Она была обнаружена весной 2014 года: по словам экспертов, Heartbleed поставил под угрозу безопасность сотен тысяч сайтов, а неизвестные хакеры утверждали, что с помощью бага им удалось получить доступ к данным банковских карт клиентов РЖД.

В MegaIndex уязвимость не закрыли, благодаря чему w0rm сделал дамп памяти и получил логин и пароль к администрированию проекта. Так ему удалось войти в личный кабинет Николая Хиврина, гендиректора ALTWeb Group, владеющей компанией MegaIndex, а также узнать содержимое базы данных сайта.

Команда MegaIndex использовала программу мониторинга рабочего времени, которая по расписанию делает скриншоты рабочих столов всех сотрудников. Это позволило w0rm получить все необходимые ключи доступа.

«У меня по-другому не получилось попасть вовнутрь, а имея доступы к FTP со скриншотов рабочих столов разработчиков, получить доступ намного проще», — заявил хакер.

Какие данные удалось получить

В компании хранили данные доступа к клиентским сайтам в открытом виде — в базе SQL. Всего w0rm смог найти более 14 тысяч логинов и паролей (есть в распоряжении TJ).

По словам хакера, валидность базы данных составляет примерно 60%. Проверка TJ показала, что часть из представленных в базе пар логинов и паролей действительно работают, часть — нет. Обычно компании отзывают доступы SEO-подрядчиков после завершения контракта на продвижение.

Помимо этого, w0rm получил доступ и ко всей базе данных самого MegaIndex. По его словам, в ней содержалось около 250 тысяч пар логинов и хэшей паролей (MD5), 90% из которых расшифровались за первые сутки. Кроме этого он обнаружил в одной из таблиц данные о платежах и кредитных картах.

Хакер заявил, что в MegaIndex не ответили на его письмо с информацией об уязвимости, отправленное на адрес admin@megaindex.ru и конкретным сотрудникам через «ВКонтакте».

Получив доступы к разработкам и основным проектам MegaIndex, я написал им репорт, но ответа не получил. Решил изучать их клиентов и уведомить их о найденных уязвимостях.

хакер w0rm

Сайты «АвтоВАЗа» и доступ к базе бухгалтерии

Самым крупным проектом, к которому w0rm удалось получить доступ, стал головной сайт «АвтоВАЗа» — lada.ru, а также старые адреса avtovaz.ru и vaz.ru, которые перенаправляют на новый портал. Всего хакер опубликовал список из более 30 доменов и поддоменов, содержимое которых он мог редактировать.

По словам w0rm, он мог не только менять данные на сайтах «АвтоВАЗа», но и управлять служебной базой данных компании, влияя на работу её региональных отделений.

База данных, к слову, единая, и в ней регулируется внутренняя бухгалтерия. Изменив пару значений, можно было бы отправить больше машин в определённый город или списать часть из них.

хакер w0rm

w0rm заявил, что писал по адресу admin@company.avtovaz.ru о найденной уязвимости ещё в середине ноября (тогда он начал изучать безопасность сайта MegaIndex), однако ответа не получил.

Позиция «АвтоВАЗа» и MegaIndex

Советник президента «АвтоВАЗа» Алексей Агуреев в ответ на запрос TJ от комментариев отказался. PR-директор «АвтоВАЗА» Сергей Ильинский заявил, что в компании изучают ситуацию.

Спустя несколько часов после обращения TJ в «АвтоВАЗе» ограничили доступ извне к администраторскому интерфейсу сайтов, заявил w0rm.

В разговоре с TJ гендиректор ALTWeb Group Николай Хиврин заявил, что к «АвтоВАЗу» его компания «никакого отношения не имеет и с ним не работала». По его словам, недавно у MegaIndex «была небольшая проблема с одним из компьютеров: с ней уже разобрались, а злоумышленника вычислили».

Cитуация обычная, так как у нас есть тестовые направления, безопасность которых может быть отработана не самым сильным образом… В данном случае проблема была с одним из поддоменов MegaIndex.

Уязвимости есть в любом проекте. Нам постоянно пишут «хакеры», которые якобы что-то находят. Как правило, это школьники, которые находят незначительные уязвимости. Мы на них не обращаем внимания.

Николай Хиврин, гендиректор ALTWeb Group

По словам Хиврина, он был в курсе, что за взломом стоял w0rm, так как его сотрудники собрали данные о хакере после «определённых действий». По данным главы ALTWeb Group, продвижением системы для совместной работы team.megaindex.ru они не занимаются уже два года, так как проект не оправдал себя коммерчески, и пользователей у него «мало».

Хиврин также попросил «не помогать подобным личностям с пиаром, так как это вредит всей индустрии».

Мы отказались ему платить за найденные небольшие проблемы. Мы вообще никому не платим за это. Явно он решил пройтись по изданиям, чтобы выразить свой негатив.

Николай Хиврин, гендиректор ALTWeb Group

По словам w0rm, вознаграждение за найденную уязвимость просил не он, а второй хакер, вместе с которым он занимался исследованием безопасности проекта.

Второй — случайный контакт из Твиттера, отписал, знаю ли я о «Мегаиндексе». Рассказал, что нашёл там Heartbleed, и предложил вместе посмотреть дальше.

На что я рассчитываю? На «дружбу» и «безопасный интернет». Я плохо вижу, что с ними выйдет что-то интересное в плане партнёрства. Пусть хоть уязвимости закроют.

хакер w0rm

1 декабря «АвтоВАЗ» запустил рекламную кампанию, приуроченную к выходу автомобиля Lada Vesta. В рекламном ролике производитель рассказал о любви к Родине и семейных ценностях, а также впервые использовал новый слоган: «Есть только один путь. Свой».

{ "author_name": "Никита Лихачёв", "author_type": "self", "tags": ["\u0445\u0430\u043a\u0435\u0440\u044b","\u0441\u0435\u0440\u0433\u0435\u0439_\u0438\u043b\u044c\u0438\u043d\u0441\u043a\u0438\u0439","\u043d\u043e\u0432\u043e\u0441\u0442\u044c","\u043d\u043e\u0432\u043e\u0441\u0442\u0438","\u043d\u0438\u043a\u043e\u043b\u0430\u0439_\u0445\u0438\u0432\u0440\u0438\u043d","\u0432\u0437\u043b\u043e\u043c\u044b","\u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u044c","\u0430\u043b\u0435\u043a\u0441\u0435\u0439_\u0430\u0433\u0443\u0440\u0435\u0435\u0432","\u0430\u0432\u0442\u043e\u043c\u043e\u0431\u0438\u043b\u0438","\u0430\u0432\u0442\u043e\u0432\u0430\u0437","w0rm","megaindex","lada","heartbleed","altweb_group"], "comments": 26, "likes": 17, "favorites": 4, "is_advertisement": false, "subsite_label": "tech", "id": 56829, "is_wide": true, "is_ugc": true, "date": "Wed, 02 Dec 2015 19:03:59 +0300", "is_special": false }
Advertisement
0
26 комментариев
Популярные
По порядку
Написать комментарий...

Указанный чайник

15

автоваз и информационные технологии не совместимы.
я думаю, первое что подумали там, когда к ним позвонил ТЖ:
- у нас есть сайт?!?!

Ответить

Комментарий удален

Призванный дым

8

не помогать подобным личностям с пиаром, так как это вредит всей индустрии

И репутации Мегаиндекса особенно.

По-хорошему за такое надо капитально попадать - проебать не только доступы от своих сервисов, но еще и доступы от ресурсов своих клиентов, это умудриться надо. Потенциальный ущерб на астрономические суммы.

Ответить

Поразительный чувак

7

Сделал бы там одолжение АвтоВАЗУ - установил цену на Весту в 400 тыщ

Ответить

Немецкий супер_стар

4

Хакер открыл портал в ад

Ответить

Маленький супер_стар

Иван
8

И получил за это...АВТОМОБИЛЬ

Ответить

Деловой торшер

DELETED
5

Ты опять призвал моего якубовича.

Ответить

Рекламный жар

Иван
–1

Комментарий удален по просьбе пользователя

Ответить

Старший парфюмер

2

Получил доступ к сайтам АвтоВАЗа. Вопрос: зачем?

Ответить

Указанный чайник

Максим
36

а вот прикиньте.
просыпается страна утром, а на сайте автоваза не 3 модели, а 10
там и купе нормальное и хэтчи трехдверные и минивены
и не 2 двигателя на весь ряд, а полноценная линейка с дизельными и турбироваными.
в стране праздник, люди выходят на улицу, бросают цветы, обнимают друг друга.
а потом пресс-служба АвтоВаза выпускает заявления, где пишут, что их просто взломали

Ответить

Рекламный жар

Максим
1

Комментарий удален по просьбе пользователя

Ответить

Острый теркин30см

2

А насколько вообще этично просить вознаграждение в таком случае? Ну то есть с одной стороны ты сделал работу, почему бы не получить оплату, а с другой тебя никто не нанимал, и это уже похоже на вымогательств.

Ответить

Серый вентилятор

Ксюша
7

Этично было бы выплатить вознаграждение, закрыть уязвимость и сказать спасибо, а не игнорировать сообщения хакеров о найденной уязвимости. История бы не попала в СМИ, если бы Хиврин адекватно отреагировал на эту ситуацию и не стал нести этот детский лепет, про то, как он вычислил хакера (по ip наверно)))). Предполагаю, что репутационный и финансовый ущерб гораздо превысит выплату, которую могли бы получить хакеры. Клиенты компании не должны страдать из-за неадекватности руководства и пренебрежением элементарных правил информационной безопасности, поэтому публикация материала в СМИ, по моему мнению - правильное решение.

Ответить

Зимний будильник

Александр
1

АвтоВАЗ

репутационный ущерб

Ответить

Серый вентилятор

Marat
0

Я про ALTWeb Group :)

Ответить

Людской ГОСТ

Ксюша
0

Это скорее как вымогательство.

Ответить

Удачный турник

1

Как правило, это школьники, которые находят незначительные уязвимости

Школьники... серьезно?

Ответить

Двойной Артем

Александр
2

Похоже Хиврин дотер, поэтому использует слово "школьник" как как самое страшное оскорбление :)

Ответить

Семейный Данила

Александр
1

Задели за живое?

Ответить

Удачный турник

Семейный
0

Не, я про то, что школьники находят уязвимости. Да это ж из области фантастики, голливудской фантастики

Ответить

Комментарий удален

Великолепный мангал

0

Логичным было бы, чтобы лада вкатила мегаиндексу иск на пару лямов, чтобы о безопасности не забывали.

Но скорее всего хакера посадят и все на этом закончится

Ответить
–11

Не посадят, очередной украинец небойсь))

Ответить

Бетонный чайник

Александр
11
Ответить

Срочный бокал

Александр
1

Не оценили шутку :(

«Только по результатам этой недели, украинцы:
- Забанили Мэдисона на Твиче.
- Программируют для ИГ.
- Продают оружие ИГ.
- Блокируют айфоны росиян.»

Ответить

Бетонный чайник

Великолепный
–1

Не посадят.

Ответить

Столичный клуб

0

Команда MegaIndex использовала программу мониторинга рабочего времени, которая по расписанию делает скриншоты рабочих столов всех сотрудников.

Страшный сон девелоперов.

Ответить

Коллективный бокал

Столичный
1

Про мониторинг тоже посмешило. Это как раз хороший пример тем руководителям, которые хотят заниматься микро-нано менеджментом и контролировать каждую секунду работы сотрудника.
Толку от этого контроля? на большое количество сотрудников еще нанимать сотрудников. которые следят, а потом еще нанимать людей, которые следят за тем чтобы следили и бла бла бла.

А для программистов я думаю не проблема найти способы обхода мониторинга.
Банальный пример из жизни: Крупная компания. Мессенджер следит за активностью. Если мышка сколько то времени не двигается то мессенджер ставит статус "Отошел" и система
учета помечает что вот в это время человек не работал.
Итого решение: Программист написал маленькую программу. которая дергала курсор вправо влево и спокойно уходил от своего рабочего места.

Ответить
Обсуждаемое
Разборы
«Кто сказал, что меня пугает оппозиция?»: о чём Путин рассказал в первом за три года иностранном интервью
О Навальном, кибератаках, посадке лайнера Ryanair и другом.
Новости
Похищенная из кризисной квартиры в Дагестане Тарамова отвергла принадлежность к ЛГБТ в интервью госканалу Чечни
Девушка также рассказала, что её права в семье не нарушаются.
Новости
Baza: в России сложился «чёрный рынок» сертификатов вакцинации от Covid-19 — за деньги вносят в госреестр без прививки
Через Telegram-чаты можно оформить фейковый «паспорт вакцинации» и отметку на Госуслугах, стоимость — от 10 до 20 тысяч рублей.
Популярное за три дня
Twitter
Это Ройзман 😂
Спорт
В соцсетях восхищаются капитаном сборной Дании Симоном Кьёром — он первый помог потерявшему сознание на поле Эриксену
Кьёр сделал искусственное дыхание футболисту, выставил партнёров по команде в цепь и утешал жену игрока. Теперь его называют героем.
Животные
Жители Горного Алтая случайно встретили котят краснокнижного манула — одной из самых скрытных кошек России
Животных не побеспокоили — люди сняли видео и ушли.
Комментарии
null