Egy névtelenségbe burkolózó olvasónk hívta fel a figyelmünket arra, hogy súlyos biztonsági hiba van az oldalon. A hiba kihasználásával a teljes adatbázis hozzáférhető, nem csak a webmail.
A hiba nem az alap front-end kódban van, hanem az Independenc-en megtalálható felhasználók képfeltöltési rendszerében. Az sql injection-t kihasználva könnyűszerrel kiolvasható bármely tábla tartalma.
Egy biztonsági szakértővel megosztottuk az információt, ő is azt mondta, hogy ez igen kritikus hiba, a felhasználók jelszavaihoz is hozzá lehet férni. Bár a jelszavak titkosítva vannak (md5), az egyszerűbb jelszavak már elég könnyen és hatásoson törhetőek. Éppen ezért ajánlott a jelszó megváltoztatása, nem csak az Indepen, hanem más weboldalon is, ahol esetleg ezzel az emailcímmel és jelszóval szerepel.
Idézet Feree-től, az Indep tulajától.
” Az indep.eu adatbazisahoz (tehat ahol a userek vannak, torrent
fajlok, es egyeb szokasos tablak, azokhoz nem fertek hozza, tehat nagy
problema nem tortent, hamar javitottuk a hibat, csak a maillel tortent
egy kis gubanc, de mar semmi gaz”
Ez a kijelentés valószínűleg messze áll a valóságtól. A tegnapi RoundCube hiba is igen komoly, gyakorlatilag shell-t lehet vele szerezni a gépre. Nagy valószínűséggel sikeresen hozzáférhettek a tracker bármelyik részéhez, ideértve a teljes adatbázist. Az itt prezentált sebezhetőség pedig ismét igen komoly, szintén hozzáférhetővé teszi a teljes Independence adatbázist a támadóknak.
Demonstrációs képek:
(a tulajdonos által feltöltött képek)
(egy user emailcíme és a jelszó hash)
Az asva.info elhatárolódik bármilyen oldalfeltöréstől. A kódot nem hozzuk nyilvánosságra, ezt senki ne kérje. A cikk nem az Indepence lejáratása miatt készül, hanem azért, hogy a felhasználók tudjanak az esetről, és időben lépjenek.
A technikai tanácsadásért hatalmas köszönet Buherátor-nak.