Kybernetická bezpečnosť je naliehavým problémom pre organizácie na celom svete, pričom hacky sú čoraz sofistikovanejšie. Vzhľadom na to, že úniky údajov a hacky, ako sú Uber, Yahoo a Equifax, sú stále veľké, spoločnosti si jednoducho nemôžu dovoliť mať na svojich serveroch slabé zabezpečenie. Avšak v Indii, situácia je taká krutá že ty nepotrebuje hlboké technické znalosti preniknúť do národných databáz.
V nedávnom vývoji bezpečnostný výskumník Baptiste Robert, ktorý na Twitteri vystupuje pod prezývkou Elliot Alderson, našiel kritické nedostatky v intranete zavedenom štátnym telekomunikačným operátorom. Bharat Sanchar Nigam Limited (BSNL).
Výskumníkovi sa podarilo získať úplné podrobnosti o viac ako 47 000 zamestnancoch BSNL. Je zaujímavé, že Robert používa Elliota Aldersona ako svoj odkaz na Twitteri ako odkaz na hlavnú postavu – „bdelého hackera“ – v TV. Pán Robot.
1) Na ich intranetovej webovej stránke bola injekcia SQL. Umožňuje útočníkovi výpis celej databázy intranetu BSNL. Obsahuje informácie o 47 tisícoch zamestnancov BSNL+, informácie o vyšších úradníkoch, informácie o administrátoroch BNSL, podrobnosti o zamestnancoch na dôchodku a ďalšie.
pic.twitter.com/HTEwtC63wp— Baptiste Robert (@fs0c131y) 4. marca 2018
Robert povedal, že sa dostal do intranetu BSNL pomocou škodlivého kódu, ktorý mu pomohol získať prístup k prepracovanej databáze nielen súčasných zamestnancov, ale aj tých, ktorí z firmy odišli. Databáza obsahovala podrobnosti, ako sú mená zamestnancov, ich označenia, osobné mobilné čísla, dátumy narodenia a dôchodkového veku a dokonca aj ich heslá na intranet.
Chyby boli údajneopravené BSNLpo informovaní výskumníkom. Zistili tiež, že dnes už neexistujúce portály BSNL „intranethr.bsnl.co.in“ a „intranetuk.bsnl.co.in“ boli tiež napadnutý ransomvérom bez vedomia telco.
Výskumník však pripísal zásluhy Sai Krishna Kothapallimu, indickému bezpečnostnému výskumníkovi, za tento objav a tvrdil, že Kothapalli našiel tieto zraniteľnosti v telco sieti viac ako dva roky, ale jeho hlas zostal nevypočutý. Indický zákon o IT z roku 2000, ktorým sa v súčasnosti riadi hackerstvo v Indii umožňuje spoločnostiam žalovať výskumníkov ktorí poukazujú na nedostatky vo svojich súkromných sieťach, čo sa v súčasnosti považuje za demotivačné opatrenie.
#India máš problém. Iba pomocou vyhľadávacieho dopytu Google môžete nájsť desiatky vládnych dokumentov „Dôverné“, „Najbezprostrednejšie/dôverné“, „Okamžité/dôverné“. Tieto dokumenty pochádzajú z viacerých vládnych webových stránok… pic.twitter.com/k9nweHXrhZ
— Baptiste Robert (@fs0c131y) 2. marca 2018
Robert nedávno prejavil veľký záujem o chybné systémy kybernetickej bezpečnosti používané indickými inštitúciami vrátane súkromných sietí používaných policajnými oddeleniami v Bengaluru City, ako aj v Pandžábu. Z webovej stránky vlády Telangany tiež unikol zoznam príjemcov MNREGA a nedávno kritizoval UIDAI za jednoduchosť hackovania aplikácie mAadhaar. Výsledkom bolo, že Robertov odkaz na Twitteri bol predmetom mnohých otázok o motíve jeho zamerania na indické služby a aplikácie. Ak by ste si chceli overiť bezpečnosť konkrétnej služby alebo aplikácie, zdá sa, že prijíma tipy prostredníctvom správ Twitteru.
Odporúčané články
