Δύο Έλληνες ερευνητές κατάφεραν να εντοπίσουν ένα κενό ασφαλείας στην ιστοσελίδα της NSA – (National Security Agency), κάτι που τους επέτρεψε να χρησιμοποιήσουν την τεχνική SQL injection και να αποκτήσουν πρόσβαση στη βάση δεδομένων του οργανισμού.
Οι ερευνητές Δημήτρης Χατζηδημήτρης και Αναστάσης Βασιλειάδης στις 20/03/2020 εντόπισαν μια ευπάθεια στην ασφάλεια της ιστοσελίδας: https://www.nsa.gov
Η ευπάθεια είναι τύπου SQL Injection και ο σύνδεσμος για την συγκεκριμένη αδυναμία παραμένει στην διάθεση της συντακτικής μας ομάδας.
Ορισμένα από τα στοιχεία της ευπάθειας:
Parameter: ver
Method: (GET)
Type: boolean-based blind
Title: AND boolean-based blind – WHERE or HAVING clause
Database: Microsoft_Access_mast****
Η οποία περιέχει 2 tables encoded !
Οι ερευνητές Δημήτρης Χατζηδημήτρης και Αναστάσης Βασιλειάδης αναφέρουν:
Μετά από αυτό δεν προχωρήσαμε παρακάτω σε μια ενδεχόμενη πρόσβαση στον server πέρα από την βάση εφόσον είχαμε ήδη επιβεβαιώσει την αδυναμία στην ασφάλεια της σελίδας.
H NSA ειδοποιήθηκε έγκαιρα για το κενό ασφαλείας στις 20/03/2020 και έως σήμερα δεν προχώρησε σε κάποια επιδιόρθωση αποτρέποντας μια ενδεχόμενη διαρροή προσωπικών δεδομένων από τρίτους με κακόβουλες προθέσεις.
Οι πληροφορίες παραμένουν στη διάθεση των άμεσα ενδιαφερομένων, από τους ίδιους τους ερευνητές αλλά και από την συντακτική μας ομάδα.
Η ενημέρωση για ευπάθειες που ανακαλύπτονται σε οργανισμούς θεωρείται άκρως απαραίτητη (ειδικά όταν υπάρχουν σε ιστοσελίδες υψηλής επισκεψιμότητας), και για εμάς αποτελούν άμεση προτεραιότητα.
Ευελπιστούμε ότι με αυτό τον τρόπο, δηλαδή την άμεση έκθεση της κάθε ευπάθειας, συμβάλουμε για ένα πιο ασφαλές διαδίκτυο.