Русскоязычный хакер получил доступ ко внутренним ИТ-системам «АвтоВАЗа»
Русскоязычный хакер под ником w0rm смог получить доступ ко внутренним системам и сайтам «АвтоВАЗа», используя уязвимость в чужом сервисе для совместной работы. Об этом он рассказал TJ.
По словам w0rm, он получил доступ к сервису для командной работы MegaIndex, которая принадлежит ALTWeb Group. Используя уязвимость Heartbleed, обнаруженную ещё весной 2014 года и не исправленную на MegaIndex, он получил доступ к администрированию сервиса.
В общей сложности он смог найти более 14 тысяч логинов и паролей, которые хранились в незашифрованном виде. Самым крупным проектом, к которому удалось получить доступ, стал основной сайт «АвтоВАЗа», lada.ru.
Хакер рассказал, что под его управлением оказались не только сайты компании, но и её служебная база данных. «База данных, к слову, единая, и в ней регулируется внутренняя бухгалтерия. Изменив пару значений, можно было бы отправить больше машин в определённый город или списать часть из них», — сказал w0rm.
Он также отметил, что отправлял сообщения об уязвимости в MegaIndex и «АвтоВАЗ», но не получил ответа.
В ответ на запрос TJ cоветник президента «АвтоВАЗа» Алексей Агуреев от комментариев отказался, а PR-директор компании Сергей Ильинский заявил, что сотрудники организации изучают ситуацию. Через несколько часов после обращения TJ в «АвтоВАЗ» w0rm сообщил, что компания ограничила доступ к администраторскому интерфейсу для подключений не из внутренней сети компании.
Гендиректор ALTWeb Group Николай Хиврин заявил, что его компания не сотрудничала с «АвтоВАЗом», в MegaIndex ранее была обнаружена «небольшая проблема», которая уже исправлена. Он также рассказал, что компания уже два года не продвигает систему для совместной работы team.megaindex.ru, так как проект не оправдал себя коммерчески.
Хиврин добавил, что его сотрудники вычислили w0rm и отказались платить ему, когда хакер обратился за вознаграждением. В разговоре с TJ w0rm сказал, что он не писал владельцам MegaIndex, но отметил, что это мог быть другой хакер, также исследовавший проект.
У нас в стране, хорошие поступки не оплачиваются. Признать своё распиздяйство, очень сложно.
Сейчас они обвинят его во всех своих бедах.