Δύο Έλληνες ερευνητές ο Δημήτρης Χατζηδημήτρης και ο Αναστάσης Βασιλειάδης κατάφεραν να εντοπίσουν ένα κενό ασφαλείας στην ιστοσελίδα του Ηλεκτρονικού Εθνικού Φορέα Κοινωνικής Ασφάλισης ΕΦΚΑ-(IKA), κάτι που τους επέτρεψε να πραγματοποιήσουν την τεχνική SQL injection και να αποκτήσουν πρόσβαση στη βάση δεδομένων του οργανισμού.
Σύμφωνα με τους Έλληνες ερευνητές, ο οργανισμός ειδοποιήθηκε έγκαιρα για το κενό ασφαλείας, αλλά μέχρι σήμερα, δεν έχει προβεί σε κάποια επιδιόρθωση.
Η ευπάθεια είναι τύπου SQL injection και η συγκεκριμένη αδυναμία:
Parameter: asf_year (POST)
Type: error-based
Title: Microsoft SQL Server/Sybase OR error-based – WHERE or HAVING clause (IN)
“Η συγκεκριμένη ευπάθεια μας έδωσε πρόσβαση στις βάσεις δεδομένων του Ηλεκτρονικού Εθνικού Φορέα Κοινωνικής Ασφάλισης ΕΦΚΑ”
“Μετά από αυτό δεν προχωρήσαμε παρακάτω σε μια ενδεχόμενη πρόσβαση στον server πέρα από τις βάσεις εφόσον είχαμε ήδη επιβεβαίωση την αδυναμία στην ασφάλεια της ιστοσελίδας.”
Παραθέτουμε ένα screenshoot από τις βάσης δεδομένων.
Available databases [7]:
[*] EFKA
[*] IKA
[*] IKAFAQ
[*] master
[*] model
[*] msdb
[*] tempdb
Παρατηρούμε ότι στα tables εμπεριέχονται ευαίσθητα δεδομένα χρηστών όπως ονόματα και κωδικοί πρόσβασης.
| IKA_USERS |
| IKA_USERS_2012 |
| IKA_USERS_FORBIDDEN |
| IKA_USERS_LOG |
| IKA_USERS_LOG_ARCHIVE |
| IKA_USERS_LOG_STATUS |
| IKA_USERS_test |
με περιεχόμενα:
+—————-+
| IKA_USER_NAMES |
+—————-+
| !!dies*** |
| “CRESP***** |
| #32+** |
| #ssm** |
| $IKA2**** |
| *00336**** |
Οι πληροφορίες παραμένουν στη διάθεση των άμεσα ενδιαφερομένων, από τους ίδιους τους ερευνητές αλλά και από το iGuRu.gr.
Η ενημέρωση για ευπάθειες που ανακαλύπτονται σε οργανισμούς, θεωρείται άκρως απαραίτητη (ειδικά όταν υπάρχουν σε ιστοσελίδες υψηλής επισκεψιμότητας και εμπεριέχουν ευαίσθητα δεδομένα χρηστών), και για εμάς στο iGuRu.gr αποτελούν άμεση προτεραιότητα.
Ευελπιστούμε ότι με αυτό τον τρόπο, δηλαδή την άμεση έκθεση της κάθε ευπάθειας και όχι με το “κουκούλωμά” της, συμβάλουμε για ένα πιο ασφαλές διαδίκτυο.