Исследователь смог получить доступ ко всем сайтам холдинга.

Как сообщает издание TJournal, русскоязычный хакер w0rm смог взломать сайты компании «АвтоВАЗ», проэксплуатировав уязвимость в одном из сторонних сервисов. Речь идет о системе командной работы и online-управлению SEO-проектами MegaIndex, оказавшейся подверженной бреши Heartbleed.

Проэксплуатировав уязвимость, хакер смог получить дамп памяти, где содержались данные для входа в панель администрирования проекта. Воспользовавшись похищенными логином и паролем, w0rm вошел в личный кабинет генерального директора компании ALTWeb Group Николая Хиврина - владеющей MegaIndex. Также хакеру удалось получить доступ к базе данных ресурса.

Как выяснилось, руководство MegaIndex пользовалось системой мониторинга рабочего времени сотрудников, автоматически создававшей скриншоты рабочих столов по расписанию. Воспользовавшись всеми полученными данными, хакер смог найти ключи доступа к сайтам «АвтоВАЗ» (lada.ru, avtovaz.ru и vaz.ru) и 30 доменам и поддоменам компании.

Логины и пароли для доступа к сайтам клиентов MegaIndex хранились в открытом виде в базе данных SQL. Как заверяет хакер, в его распоряжении оказалось 14 тысяч пар «логин – пароль», а валидность базы составила примерно 60%. Имея доступ ко всей базе данных, w0rm обнаружил еще 250 тысяч пар «логин – хэш пароля» компании MegaIndex, и уже за первые сутки расшифровал 90% из них.

w0rm немедленно отправил информацию об уязвимостях на электронную почту администратора MegaIndex, но не получил ответа. После этого хакер разослал уведомления ряду сотрудников компании в социальных сетях и руководству «АвтоВАЗ», которые также остались проигнорированными.

Гендиректор ALTWeb Group Николай Хиврин прокомментировал ситуацию в ходе интервью изданию TJournal. «Нам постоянно пишут «хакеры», которые якобы что-то находят. Как правило, это школьники, которые находят незначительные уязвимости. Мы на них не обращаем внимания», - заявил Хиврин в разговоре с репортерами издания. По мнению директора ALTWeb Group, w0rm решил предать дело публичной огласке, поскольку Хиврин отказался выплачивать вознаграждение за обнаруженную уязвимость.

ALTWeb Group - компания, оказывающая услуги по разработке, поисковой оптимизации и продвижению сайтов. Основана в 2002 году, имеет офисы в Москве и Санкт-Петербурге.

Heartbleed — уязвимость в криптографическом программном обеспечении OpenSSL, позволяющая несанкционированно читать память на сервере или на клиенте, в том числе для извлечения закрытого ключа сервера. Информация об уязвимости была опубликованав апреле 2014 года.

04/12/15 http://www.securitylab.ru/news/477213.php