Egy névtelenségbe burkolózó olvasónk hívta fel a figyelmünket arra, hogy súlyos biztonsági hiba van az oldalon. A hiba kihasználásával a teljes adatbázis hozzáférhető, nem csak a webmail.

A hiba nem az alap front-end kódban van, hanem az Independenc-en megtalálható felhasználók képfeltöltési rendszerében. Az sql injection-t kihasználva könnyűszerrel kiolvasható bármely tábla tartalma.

Egy biztonsági szakértővel megosztottuk az információt, ő is azt mondta, hogy ez igen kritikus hiba, a felhasználók jelszavaihoz is hozzá lehet férni. Bár a jelszavak titkosítva vannak (md5), az egyszerűbb jelszavak már elég könnyen és hatásoson törhetőek. Éppen ezért ajánlott a jelszó megváltoztatása, nem csak az Indepen, hanem más weboldalon is, ahol esetleg ezzel az emailcímmel és jelszóval szerepel.

Idézet Feree-től, az Indep tulajától.

” Az indep.eu adatbazisahoz (tehat ahol a userek vannak, torrent
fajlok, es egyeb szokasos tablak, azokhoz nem fertek hozza, tehat nagy
problema nem tortent, hamar javitottuk a hibat, csak a maillel tortent
egy kis gubanc, de mar semmi gaz”

Ez a kijelentés valószínűleg messze áll a valóságtól. A tegnapi RoundCube hiba is igen komoly, gyakorlatilag shell-t lehet vele szerezni a gépre. Nagy valószínűséggel sikeresen hozzáférhettek a tracker bármelyik részéhez, ideértve a teljes adatbázist. Az itt prezentált sebezhetőség pedig ismét igen komoly, szintén hozzáférhetővé teszi a teljes Independence adatbázist a támadóknak.

Demonstrációs képek:

indep_hacked

(a tulajdonos által feltöltött képek)

indeppass

(egy user emailcíme és a jelszó hash)

Az asva.info elhatárolódik bármilyen oldalfeltöréstől. A kódot nem hozzuk nyilvánosságra, ezt senki ne kérje. A cikk nem az Indepence lejáratása miatt készül, hanem azért, hogy a felhasználók tudjanak az esetről, és időben lépjenek.

A technikai tanácsadásért hatalmas köszönet Buherátor-nak.