De Roemeense hacker Unu is erin geslaagd de websites van HSBC, Dexia en ING Belgie te hacken en zo een onbekend aantal klantgegevens en andere vertrouwelijke informatie buit te maken. Via SQL-injectie wist hij toegang tot verschillende databases te krijgen, maar in het geval van Dexia was het ook mogelijk om "load_file execution" uit te voeren. "Met enig geluk kunnen we een schrijfbare directory vinden, kwaadaardige code injecteren, vervolgens krijgen we command line toegang waarmee we bijna alles met de website kunnen doen", aldus Unu. Zo is het mogelijk om shells te uploaden, redirects in te stellen, pagina's te infecteren met Trojan droppers en zelfs het defacen van de website.
Bij de Belgische afdeling van ING betrof het de Giftshop, toch schrok de Roemeense hacker van de gebrekkige beveiliging. Zo was het admin wachtwoord in platte tekst opgeslagen, wat ook gold voor de wachtwoorden van alle geregistreerde gebruikers. "ING is één van de grootste financiële instellingen ter wereld. Toch slaagt zo'n grote financiële instelling er niet in de eigen database te beveiligen!" Hoewel de SQL-injectie in de cadeauwinkel zat, ontdekte de hacker dat die zich op de "grote ING server" bevindt.
Slordig
Via een onbeveiligde parameter wist Unu volledige toegang tot de database van HSBC Frankrijk te krijgen. "Zeer ernstig en gevaarlijk, met name bij een bank die internetbankieren heeft." De hacker probeerde de beveiligingsproblemen te melden, maar vond geen contactgegevens. Daarop stuurde hij een bericht naar de webmaster, admin, abuse en security e-mailadressen, maar ontving alleen een out-of-office bericht dat mensen op vakantie waren. "Het is ongelooflijk om bij zo'n grote bank geen competente medewerker te vinden die de e-mail kan beantwoorden." Ondanks herhaaldelijke pogingen blijkt de bank niet te reageren. Daarom zal de hacker vandaag de onveilige parameter publiceren.
Met dank aan Christiaan en Fish_ voor het melden van dit nieuws
Deze posting is gelocked. Reageren is niet meer mogelijk.