Русскоязычный хакер под ником w0rm смог получить права администрирования сайтов концерна «АвтоВАЗ» через дыру в системе совместной работы стороннего подрядчика.

Как выяснилось, платформа для организации командной работы и управления SEO-проектами компании MegaIndex, подрядчика «АвтоВАЗа», содержала уязвимость Heartbleed, которая была обнаружена в прошлом году и наделала много шума в ИТ-индустрии. Критическая уязвимость ставила под угрозу безопасность сотен тысяч веб-сайтов. Несмотря на то что патч вышел достаточно быстро, многие, и среди них MegaIndex, до сих пор не закрыли опасную дыру в своих системах.

Герой истории, рассказавший об инциденте изданию Tjournal, признался, что искал подрядчика для продвижения своего проекта в поисковых системах и зашел на сайт MegaIndex. Хакер решил проверить безопасность сайта и выявил незакрытую уязвимость Heartbleed. Дальнейший поиск привел хакера к логинам и паролям к сайтам «АвтоВАЗа», который, как можно заключить, является клиентом MegaIndex.

Исследователь сделал дамп памяти, что позволило ему получить логин и пароль администратора проекта. Таким образом он смог залезть в аккаунт генерального директора холдинга, владеющего компанией MegaIndex, а также узнать содержимое базы данных сайта.

В MegaIndex была установлена система контроля рабочего времени сотрудников, которая с заданной периодичностью делала скриншоты содержимого рабочих столов, благодаря чему w0rm получил все необходимые ключи доступа.

Учетные данные для доступа ко всем сайтам, продвижением которых занимались в MegaIndex, хранились в открытой SQL-базе. Хакер смог получить 14 тыс. пар «логин – пароль». Сам хакер оценивает валидность базы в 60%; как показала дальнейшая проверка, некоторые из них были недействительными, так как после завершения контракта администраторский доступ у сторонних SEO-подрядчиков отзывают.

W0rm также скомпрометировал базу данных самой MegaIndex, получив около 250 тыс. пар логинов и хэшей паролей в MD5, а также данные кредиток и онлайн-платежей. Практически все пароли были расшифрованы за сутки.

Очевидно, что самым большим проектом MegaIndex, к которому смог получить доступ w0rm, стал официальный сайт lada.ru, а также устаревшие домены «АвтоВАЗа» — avtovaz.ru и vaz.ru. Хакер получил возможность модифицировать содержимое всех 30 доменов и поддоменов концерна, а также изменять записи в служебной базе данных.

«База данных, к слову, единая, и в ней регулируется внутренняя бухгалтерия. Изменив пару значений, можно было бы отправить больше машин в определенный город или списать часть из них», — поведал эксперт.

Как только w0rm обнаружил столь зияющую дыру в безопасности MegaIndex, он попытался связаться с компанией по всем каналам, включая соцсети, но ему никто не ответил. Тогда хакер решил напрямую связаться с заказчиком MegaIndex и сообщить ему неприятные новости. Но «АвтоВАЗ» упорно игнорировал этот сигнал с середины ноября.

После того как история появилась на Tjournal, из «АвтоВАЗа» сообщили, что разбираются в проблеме, и спустя несколько часов внешний администраторский доступ к сайтам концерна был закрыт. Представители материнской компании MegaIndex, ALTWeb Group, отрицают факт выполнения подряда для «АвтоВАЗа» и сваливают вину в произошедшем на некоего «злоумышленника».

«Уязвимости есть в любом проекте. Нам постоянно пишут «хакеры», которые якобы что-то находят. Как правило, это школьники, которые находят незначительные уязвимости. Мы на них не обращаем внимания», — сказал Николай Хиврин, гендиректор ALTWeb Group. Также он просил «не помогать подобным личностям [w0rm] с пиаром, так как это вредит всей индустрии». Очевидно, что никакая Bug Bounty хакеру не светит.

Однако, по словам w0rm, вознаграждение за найденную уязвимость запросил его партнер по исследованию, который списался с ним в Twitter, сообщил, что нашел в системах MegaIndex Heartbleed, и предложил поработать вместе. Сам же w0rm на награду особенно не рассчитывал. «Пусть хоть уязвимости закроют», — отмахивается исследователь.

Ранее хакеры уже якобы находили Heartbleed на сайтах РЖД и ВТБ24, однако позднее информация не подтвердилась.

Категории: Главное, Уязвимости, Хакеры