Inyección SQL a la Web de Intel
28 de Diciembre de 2009
Un rumano que se hace llamar 'Unu' ha golpeado otra vez: Esta vez ha demostrado cómo un ataque de inyección SQL deja al descubierto información personal en un formulario de pasaportes del sitio web de Intel.
Unu, que previamente expuso las mismas vulnerabilidades en los sitios web de 'The Wall Street Journal' y 'Kaspersky Lab', esta vez se enfocó en una página de registro para eventos del canal de asociados del gigante azul. El sitio, actualmente caído, publicó un mensaje de su baja por mantenimiento.
Un vocero de Intel dice que la empresa dio de baja el sitio y está investigando el asunto.
Unu publicó en su blog sobre la vulnerabilidad en el sitio de Intel, "No solamente es vulnerable a inyección sql, sino que también permite la ejecución de load_file haciéndolo muy peligroso, porque con un poco de paciencia es posible encontrar un directorio en el que se pueda escribir e inyectando un código malicioso podemos obtener acceso a la línea de comandos, con la cual podemos hacer virtualmente cualquier cosa que queramos: subir phpshells, redirigir, INFECTAR PÁGINAS con TROJAN DROPPERS, incluso realizar un deface a todo el sitio web."
De acuerdo a su post, también fue capaz de ingresar al front-end de la aplicación web y descubrir luego que los administradores del servidor tenían sus contraseñas en texto plano.
Declaró 'Intel es Intel, los datos personales de sus usuarios son los datos personales de los usuarios, así que esta vulnerabilidad normalmente no debería ocurrir.'
Algunos expertos de seguridad que analizaron el caso, dicen que lo más alarmante de todo es que hay una captura de pantalla que parece mostrar personas registradas para un evento, junto con sus números de pasaporte, fechas de nacimiento y tipos de tarjetas de crédito. 'Unu reconoce que él simplemente no está mostrando los números de las tarjetas de crédito, fechas de expiración y demás códigos, sin embargo estos están en la tabla.'
Daniel Kennedy, uno de los expertos, informa que el sitio web ya ha sido alterado antes por alguien más. Y dijo: 'Así que Intel o su proveedor deben dar una buena mirada a quién, además de Unu, pudo haber estado en esa base de datos.'
'Intel realmente no ha notificado a nadie que pudiera estar afectado... estos son datos del pasaporte y la tarjeta de crédito.'