На одной из популярных хакерских торговых площадок сразу несколько продавцов начали продавать SQLi-уязвимость, с помощью которой, как утверждается, можно получить полный доступ к внутренней базе данных сервиса PickPoint.
Каждый желающий может приобрести SQLi-уязвимость к системам сервиса PickPoint за 1000 долларов. С помощью атаки типа SQL Injection задействуются динамические операторы SQL, выносятся в комментарии определенные части инструкций и добавляется условие, которое всегда будет истинным. SQL-инъекция нацеливается на уязвимости в архитектуре веб-приложений и пользуется операторами SQL для выполнения вредоносного SQL-кода.
На этом же хакерском форуме у другого продавца можно приобрести уже скачанную базу данных клиентов компании PickPoint, которая содержит около 4 млн. записей. Продавец сообщает, что по каждой записи приведена детальная персональная информация о клиентах (ФИО, дата рождения, телефонный номер, адрес проживания, адрес электронной почти, хешированные MD5-пароли и т. д.).
Эксперты по информационной безопасности уверены, что продажа подобной информации – это «отголоски» произошедшего в начале декабря 2020 года взлома постаматов PickPoint. Тогда неизвестными киберпреступниками была проведена кибератака на системы российской компании, в результате чего в некоторых постаматах, расположенных в разных городах России, были открыты дверки ячеек, в которых лежали доставленные посылки.
В PickPoint тогда отмечали, что инцидент безопасности связан с проведением кибератаки на провайдеров, которые обеспечивали доступ в интернет для постаматов. В общей сложности из-за хакерской атаки пострадали более 2,7 тыс. постаматов из 8 тыс. существующих. В результате открытия дверок постаматов было похищено около 1000 доставленных посылок.
В компании PickPoint пока еще не прокомментировали факт продажи SQLi-уязвимости к системам сервиса. Также сервис доставки не сообщал о возможной утечке персональных данных 4 млн. клиентов.
ЧИТАТЬ ВСЕ НОВОСТИ НА САЙТЕ | ПОДПИСЫВАЙТЕСЬ НА НАШ TELEGRAM КАНАЛ