G Data donosi: duże włamanie na witryny europejskich drużyn piłkarskich

Zgodnie doniesieniami od G Data, Unia Europejskich Związków Piłkarskich również została zaatakowana. Jakie dane wyciekły? Oto ich typy:
G Data donosi: duże włamanie na witryny europejskich drużyn piłkarskich
Nie obyło się bez awantury

Nie obyło się bez awantury

  • Nazwa oraz hasło administratora.
  • Nazwa, hasło administratora oraz nazwa hostów.
  • Nazwy użytkowników i hasła.
  • Nazwy użytkowników i adresy email.
  • Nazwy użytkowników, hasła, adresy email, adresy ip użytkowników, rodzaje użytkowników.
  • Nazwy użytkowników, Pełne nazwy, hasła.
  • Nazwy użytkowników, Pełne nazwy, emaile, pełne adresy, numery telefonów, numery kart kredytowych, nazwy banków, numery kont bankowych.
  • Pełne nazwy, nazwy szkół, adresy email, numery telefonów.

Ogłoszone już zostały miejsca podatne na atak, nie ujawniono jednak jeszcze pobranych na poniższych stronach danych:

  • Blog fanowski o nazwie zbliżonej do UEFA Euro 2012.
  • Strona stadionu piłkarskiego – oficjalny stadion EURO 2012.

G Data podejrzewa, że skradzione dane, pochodzą właśnie z tych dwóch podatnych na atak stronach:

  • Blog: nazwa użytkownika, email, hasło, miasto, ulubiony klub sportowy, identyfikator społecznościowy.
  • Stadion: nazwa, hasło, telefon, email.
  • Być może inne. W tej chwili G Data nie była w stanie tego sprawdzić. Płacąc za bilet mogłeś pozostawić tam dane twojej karty kredytowej lub innych danych bankowości.

W jaki sposób odbył się atak? Dwoma metodami.

  • SQL Injection, czyli luka w zabezpieczeniach aplikacji webowskich. Polega ona na nieodpowiednim zastosowaniu filtrów lub niewłaściwego typowania najczęściej danych wprowadzanych przez formularze na stronie. Dane zamieniane na zapytania SQL mogą modyfikować, kasować, dodawać, poprawiać dane w bazach danych portali internetowych. Wynika to najczęściej z braku wyobraźni lub słabych umiejętności programisty.
  • CRLF Injection. Atakujący może przygotować atak cross-site scripting i więcej exploitów wykorzystując tę technikę. Wysyła specjalnie spreparowane zapytania http w celu zmanipulowania odpowiedzi serwerów www.

Sporządzono szczegółową instrukcję ataku na jeden z serwisów i udało się powtórzyć próbę ataku.