Etikus hacker járt a Starbucks adatbázisában

​A Starbucks rendszerén egy kritikus veszélyességű biztonsági rés tátongott, ami könyvelési és pénzügyi adatokhoz való jogosulatlan hozzáférést tett lehetővé.
 

A Starbucks is felismerte már, hogy az etikus hackerek a jó oldalt képviselik, ezért a HackerOne platformon keresztül díjazza a sebezhetőségek feltárásával foglalkozó szakembereket. A cég által felkínált legnagyobb jutalom jelenleg 4.000 dollár, ami a legveszélyesebb sebezhetőségek jelentése után jár. A vállalat eddig összesen több mint 400 ezer dollárt fizetett a fehérkalapos hackereknek. 

A legnagyobb összegű, azaz 4.000 dolláros jutalomban részesült Eugene Lim biztonsági kutató is, aki egy nagyon veszélyes sérülékenységre derített fényt. A szakember április 8-án jelezte a felfedezését a Starbucks-nak, amely két napon belül befoltozta a biztonsági rést. A sérülékenység híre azonban csak a napokban került nyilvánosságra. 

Eugene Lim először XXE (XML External Entity) alapú támadásokkal próbálkozott, és rájött arra, hogy a Starbucks a Microsoft Dynamics AX vállalatirányítási rendszert használja. Ezekkel a támadásokkal nem ment sokra, de nem adta fel a küzdelmet. Néhány hét múlva ismét nekiveselkedett egy támadásnak, amit kifejezetten SQL injectionre hegyezett ki. Nem is kellett sokáig keresgélnie, ugyanis viszonylag hamar ráakadt egy biztonsági résre, amin keresztül tetszőleges SQL utasításokat tudott lefuttatni. Mivel a Dynamics AX adatbázisának leírása megtalálható az interneten, ezért a fontosabb adattáblák feltérképezése nem tartott sokáig. Ekkor derült ki, hogy Lim hozzáfért megközelítőleg egymillió pénzügyi, számlázási, könyvelési, bérszámfejtési adatrekordhoz. Mikor rájött arra, hogy az éles rendszerben kotorászik, akkor rögtön leállt a támadással, és az előírásoknak megfelelően jelezte a felfedezését. A Starbucks pedig gyorsan megkezdte a biztonsági rés befoltozását.
Vélemények
 
  1. 4

    A Symantec négy biztonsági résről számolt be egyes hálózatbiztonsági termékeinek kapcsán.

  2. 4

    A Microsoft egy nulladik napi sérülékenységről számolt be az Internet Explorer kapcsán.

  3. 1

    A Coonrac trójai kizárólag addig van jelen egy fertőzött számítógépen, amíg arról a terjesztői számára fontos adatokat ki nem szivárogtatja.

 
Partnerhírek
iPhone és adathalászat

A most bemutatott eset úgy kezdődött, hogy egy felhasználó kapott egy sms-t, amely értesítette arról, hogy elveszített iPhone X készüléke milyen címen található. Az üzenetben egy link is volt, amelyre kattintva elvileg meg lehetett tekinteni a készülék helyét – a gyakorlatban viszont egy adathalász oldalhoz tartozott, amely ellopta a látogatók iCloud azonosítóit.

A kkv-ken keresztül támadják a nagyvállalatokat a kiberbűnözők

A kis- és középvállalatok jelentik a legnagyobb rizikót az IT biztonság terén, így nem meglepő, hogy a számítógépes bűnözők is egyre inkább őket támadják, nem utolsósorban azért, hogy rajtuk keresztül eljussanak a nagyobb vállalatokig.

hirdetés
Közösség
1