Ο Bitquark, ένας ερευνητής ασφαλείας εντόπισε μια ευπάθεια που επέτρεπε SQL Injection στην επίσημη ιστοσελίδα της Tesla Motors. Ευτυχώς, εταιρεία αντέδρασε αμέσως και έκλεισε το κενό ασφαλείας στην ιστοσελίδα της αμέσως μετά την κοινοποίηση της ύπαρξής του.
Αρχικά, ο εμπειρογνώμονας διαπίστωσε κάποια τρωτά σημεία cross-site scripting (XSS) στην ιστοσελίδα της Tesla. Ωστόσο, μετά από αργότερα, ανακάλυψε ένα σφάλμα που επέτρεπε SQL Injection στη σελίδα του στούντιο σχεδιασμού της Tesla Motors, η οποία επέτρεπε στους πελάτες να προσαρμόσουν το αυτοκίνητό τους πριν από την παραγγελία τους.
Το ελάττωμα υπήρχε στο URL shortener που χρησιμοποιούνταν από τους πελάτες για να μοιράζονται τη διαμόρφωση που είχαν δημιουργήσει με τους φίλους τους. Η ευπάθεια άφηνε εκτεθειμένη την backend βάση δεδομένων, που συμπεριλάμβανε τα αρχείων των πελατών της εταιρείας και τις πιστοποιήσεις του διαχειριστή.
Η Tesla κατάφερε να διορθώσει το πρόβλημα, αφού πήρε από τον ερευνητή ασφαλείας τις τεχνικές λεπτομέρειες και ένα Python script το οποίο χρησιμοποίησε για να πραγματοποιήσει το exploit στο κενό ασφαλείας.
Πρόσθετες πληροφορίες υπάρχουν στο blog του Bitquark.
Ο Γιώργος ακόμα αναρωτιέται τι κάνει εδώ….
