Русскоязычный хакер получил доступ ко внутренним ИТ-системам «АвтоВАЗа» Статьи редакции
Русскоязычный хакер под ником w0rm смог получить доступ ко внутренним системам и сайтам «АвтоВАЗа», используя уязвимость в чужом сервисе для совместной работы. Об этом он рассказал TJ.
По словам w0rm, он получил доступ к сервису для командной работы MegaIndex, которая принадлежит ALTWeb Group. Используя уязвимость Heartbleed, обнаруженную ещё весной 2014 года и не исправленную на MegaIndex, он получил доступ к администрированию сервиса.
В общей сложности он смог найти более 14 тысяч логинов и паролей, которые хранились в незашифрованном виде. Самым крупным проектом, к которому удалось получить доступ, стал основной сайт «АвтоВАЗа», lada.ru.
Хакер рассказал, что под его управлением оказались не только сайты компании, но и её служебная база данных. «База данных, к слову, единая, и в ней регулируется внутренняя бухгалтерия. Изменив пару значений, можно было бы отправить больше машин в определённый город или списать часть из них», — сказал w0rm.
Он также отметил, что отправлял сообщения об уязвимости в MegaIndex и «АвтоВАЗ», но не получил ответа.
В ответ на запрос TJ cоветник президента «АвтоВАЗа» Алексей Агуреев от комментариев отказался, а PR-директор компании Сергей Ильинский заявил, что сотрудники организации изучают ситуацию. Через несколько часов после обращения TJ в «АвтоВАЗ» w0rm сообщил, что компания ограничила доступ к администраторскому интерфейсу для подключений не из внутренней сети компании.
Гендиректор ALTWeb Group Николай Хиврин заявил, что его компания не сотрудничала с «АвтоВАЗом», в MegaIndex ранее была обнаружена «небольшая проблема», которая уже исправлена. Он также рассказал, что компания уже два года не продвигает систему для совместной работы team.megaindex.ru, так как проект не оправдал себя коммерчески.
Хиврин добавил, что его сотрудники вычислили w0rm и отказались платить ему, когда хакер обратился за вознаграждением. В разговоре с TJ w0rm сказал, что он не писал владельцам MegaIndex, но отметил, что это мог быть другой хакер, также исследовавший проект.
Комментарий удален модератором
Комментарий удален модератором
Комментарий удален модератором
Комментарий удален модератором
Комментарий удален модератором
У нас в стране, хорошие поступки не оплачиваются. Признать своё распиздяйство, очень сложно.
Сейчас они обвинят его во всех своих бедах.
Количество ответов-благодарностей на уведомления о уязвимости стремится к нулю. Селяви. Бывают и угрозы.
В АвтоВазе есть IT системы? Вот это и правда сенсация!
А у них есть IT-системы?
В тексте сказано, что Харвин зажал вознаграждение и его же сотрудники вычислили хакера. А камни в АвтоВАЗ полетели.
А если серьёзно, то такая уязвимость это катастрофа! Спасибо тому парню, что не оказался злодеем
AltWeb - та ещё говноконтора
Какие машины, такая и система безопасности
"его сотрудники вычислили w0rm и отказались платить ему, когда хакер обратился за вознаграждением"
Чмошники. И идиоты неблагодарные. Человек мог продать все свои находки и срубить оооочень много ден знаков. И х** бы его "вычилили". Пинкертоны чертовы.
Лишний камень в пользу того, чтобы не делать людям добра.
Кто сказал, что он не продал? )
Белые шляпы сразу информируют об уязвимости, а не получают доступ к 14 тысячам паролей, это уже УК.
Комментарий удален модератором