Ομάδα κατασκοπείας, χρησιμοποίησε το CVE-2018-8589 Windows Zero-Day σε επιθέσεις στη Μέση Ανατολή
infosec

Ομάδα κατασκοπείας, χρησιμοποίησε το CVE-2018-8589 Windows Zero-Day σε επιθέσεις στη Μέση Ανατολή

Η Kaspersky αποκάλυψε ότι το CVE-2018-8589 Windows zero-day που διορθώθηκε από το Microsoft Nov. 2018 Patch Tuesday, έχει εκμεταλλευτεί από...
Read More
infosec

WordPress: Ποιες εκδόσεις plugin δέχτηκαν πρόσφατα επιθέσεις;

WordPress: Ποιες εκδοχές plugin δέχτηκαν πρόσφατα επιθέσεις; Ένα νέο ελάττωμα στο δημοφιλές WordPress έχει οδηγήσει στην εκμετάλλευση πολυάριθμων sites που...
Read More
infosec

Το Bitlocker της Microsoft διακυβεύεται λόγω κακής κρυπτογράφησης SSD

Η μη επαρκής ασφάλεια των υπολογιστών, μπορεί μερικές φορές να έχει άσχημα αποτελέσματα, όπως ανακάλυψαν ερευνητές από την Ολλανδία. Διαπίστωσαν...
Read More
infosec

Greunion: Δύο σημαντικές νίκες στους διαγωνισμούς DefCamp και CSAW’s CTF!

Η Greunion, η καταξιωμένη πλέον ομάδα CTF, που προπονεί την ελληνική αποστολή για τον Πανευρωπαϊκό διαγωνισμό European Cyber Security Challenge,...
Read More
infosec

Facebook: Η χτεσινή διακοπή λειτουργίας ήταν απλώς ένα τεστ ρουτίνας

Μήπως το Facebook «κατέρρευσε» εχθές και σε εσάς; Το ίδιο συνέβη σε πολλούς users, στον κόσμο του δημοφιλέστερου μέσου κοινωνικής...
Read More
Latest Posts

Κλοπή 3800 πιστωτικών καρτών από ιστοσελίδα κράτησης ξενοδοχείων

klopi-pistotikon-karton

Άγνωστοι υπέκλεψαν στοιχεία πιστωτικών καρτών, από ιστοσελίδα με αντικείμενο τις κρατήσεις ξενοδοχείων, χρησιμοποιώντας το κλειδί αποκρυπτογράφησης που ήταν αποθηκευμένο μαζί με τα δεδομένα των πελατών. H Επιτροπή Πληροφοριών του Ηνωμένου Βασιλείου (Information Commissioner’s Office), επέβαλε πρόστιμο 9.560€, στην Worldview Limited, επειδή τηρούσε το κλειδί αποκρυπτογράφησης μαζί με τα δεδομένα, επιτρέποντας σε εισβολείς να αποκτήσουν πρόσβαση σε ευαίσθητες πληροφορίες 3.814 πελατών.Τα πλήρη στοιχεία των καρτών και οι κωδικοί ασφαλείας περιλαμβάνονταν μεταξύ άλλων στη βάση δεδομένων.

Oι hackers εκμεταλλεύτηκαν ευπάθεια στην ιστοσελίδα της εταιρίας και απέκτησαν πρόσβαση στην βλαση δεδομένων με SQL injection. Η ICO (Information Commissioner’s Office) απηύθυνε πρόσκληση σε οργανισμούς να ξεκινήσουν άμεσα τις απαραίτητες ενέργειες για την προστασία των ιστοσελίδων τους «ενάντια σε μια από τις πιο κοινές μορφές της ηλεκτρονικής επίθεσης – την SQL injection. «Με το κλειδί αποκρυπτογράφησης που αποθηκεύονται οι κρυπτογραφημένες πληροφορίες και αξιοποιώντας μία από τις πιο βασικές μορφές επιθέσεων, οι επιτιθέμενοι δεν είχαν κανένα πρόβλημα να φθάσουν στα πλήρη στοιχεία των καρτών.

Σύμφωνα με μια έκθεση από την ICO, ο κωδικός ασφαλείας (CVV ή CVV2), είναι μια σειρά από αριθμούς που απαιτούνται για τις online πληρωμές, ως μέσο, για να επικυρωθεί ότι η φυσική κάρτα είναι διαθέσιμη και παράλληλα υπάρχει στη βάση δεδομένων. Οι βέλτιστες πρακτικές που προωθούνται από τη βιομηχανία καρτών συνιστούν σε εμπόρους να  μην αποθηκεύουν το CVV ή CVV2 στα συστήματά τους. Η Αποθήκευση του κωδικού γίνεται γενικότερα για την ευκολία των recurrent shoppers (πελατών που ξαναψωνίζουν) , ώστε να μην χρειάζεται να εισάγουν όλα τα στοιχεία της κάρτας. Ωστόσο, σε περίπτωση που ο online λογαριασμός τους παραβιαστεί, ο εισβολέας μπορεί να ξεκινήσει τις αγορές σαν να ήταν ο πραγματικός ιδιοκτήτης του λογαριασμού.

Η SQL injection είναι μια από τις απλούστερες μορφές της επίθεσης

Η ΙCO αναφέρει ότι η ευπάθεια SQL υπήρχε στην ιστοσελίδα της Worldview Limited από το Μάιο του 2010 και ανακαλύφθηκε στις 28 Ιουνίου 2013, κατά τη διάρκεια ελέγχου. Φαίνεται ότι οι εισβολείς είχαν πρόσβαση στα ευαίσθητα στοιχεία για χρονικό διάστημα δέκα ημερών. Η Worldview Limited, επέλυσε το πρόβλημα που υπήρχε στην ιστοσελίδα της και πήρε όλα τα απαραίτητα μέτρα προκειμένου να  αποτρέψει παρόμοια περιστατικά στο μέλλον. «Μπορεί να ακούγεται περίεργο για πολλούς στον κλάδο της ασφάλειας που αυτό το είδος της επίθεσης εξακολουθεί να εφαρμόζεται. Οι επιθέσεις SQL injection μπορούν να προληφθούν, με την προϋπόθεση ότι οι οργανισμοί θα αφιερώσουν τον απαραίτητο χρόνο για να βεβαιωθούν ότι η ιστοσελίδα τους είναι ασφαλής. Η Worldview απέτυχε να το κάνει αυτό, με αποτέλεσμα τα στοιχεία πιστωτικών καρτών 3000+ πελατών για να τεθούν σε κίνδυνο », δήλωσε ο Simon Ράις, Rice, Manager της ICO Group.

Έχετε άποψη; Αφήστε το σχόλιό σας.

Ο συντάκτης σας επιτρέπει να αντιγράψετε το κείμενό του, μόνο εφόσον αναφέρετε την πηγή (SecNews.gr), σαν ηλεκτρονική διεύθυνση (Live URL) του άρθρου.
Updated on by

Reader Interactions

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *