venerdì 30 dicembre 2011

Joint Research Centre hacked - Rainews24 hacked

Ebbene si. Volevo evitare di scrivere sul blog fino al nuovo anno, ma non è stato possibile.

Oggi è stato tutto un susseguirsi di mail e telefonate e, tra veri e presunti attacchi, è uscito fuori un bel quadro.

Vi riporto solo gli incidenti più importanti... che, oltretutto sono legati allo stesso autore: il già noto Thorwed autore dell'attacco al sito qualitapa.gov.it.

Vediamo cosa ha combinato oggi...

Attacco 1 - un sito del Joint Research Centre, in particolare il sito del "Major Accident Hazards Bureau", un sito della Commissione Europea dedicato alla gestione delle politiche di controllo dei pericoli derivanti dallo stoccaggio di sostanze tossiche. Il solito Thorwed ha preso il DB degli amministratori e degli utenti registrati e lo ha pubblicato su Pastebin. La cosa che mi è saltata all'occhio è l'utente amministrativo "test"... chi vuole provare ad indovinare la password può postare nei commenti la sua proposta. Quando io l'ho provato dopo circa una ventina di ore dall'attacco era ancora tutto perfettamente funzionante, una vera meraviglia!
Ovviamente ho segnalato il tutto a chi di dovere, anche se so per certo che erano già stati informati tramite canali ufficiali.

Attacco 2 - Rainews24 stessa cosa. DB utenti e un secondo DB (probabilmente dedicato ai contributori di notizie "User Generated Content") pubblicati su Pastebin. La cosa divertente (si fa per dire) è che gli utenti in questo caso sono tutti i redattori e la struttura di rainews24. Anche qui una vera meraviglia.

Ah dimenticavo... buon anno a tutti!

------------------------------------------------------------------------------------------
Aggiornamento del 31 dicembre 2011 ore 12.

Sono stato appena informato che i gestori del sito del JRC hanno reso irragiungibile la pagina di amministrazione e che stanno gestendo l'incidente. Meno male.

ore 13
Al momento è stato messo off-line tutto il sito. Una misura un po' drastica ma probabilmente legata alla risoluzione della vulnerabilità sfruttata per l'attacco. Se volete vedere come si presentava il sito potete utilizzare la copia cache di Google.

5 commenti:

Anonimo ha detto...

anche qualitapa.gov.it ha le credenziali in bella mostra su pastebin...

Matteo Cavallini ha detto...

Ciao Anonimo,

grazie per aver lasciato il tuo commento. Hai ragione, anche per qualitapa.gov.it sono state pubblicate le credenziali su pastebin. Se leggi il post che ho dedicato a quest'episodio http://www.matteocavallini.com/2011/12/bucato-un-sito-del-ministero.html scoprirai che, assieme ad altri amici, abbiamo avvisato tutti i 9141 utenti le cui credenziali sono state pubblicate.

Ciao e buon anno!
Matteo

Anonimo ha detto...

# Thorwed
# I apologize in advance http://translate.google.com
# http://pastebin.com/F1VUczh2

Hi Matteo, I am Thorwed.
Let me explain about: (http://pastebin.com/uBMFL4R3).
The first laid the basis of (qualitapa.gov.it), which contained (login; pass; mail) a day later it was modified,
where I wrote the reasons for their actions:
"... I am very sad to look at the large site with such childish errors that are fixed for a few minutes.
This is especially true of government websites. In December, an error that could be eliminated within a few minutes was the diversion of 9000 + data.
I think you ask why I showed the entire database? but if I showed only a mistake nobody would have noticed.
When I put a base on pastebin.com it turns out there was already an analogy only it contained the names of the tables.
(http://pastebin.com/XLZ0iLZy) on October 10, ridiculous is not it? Nobody paid any attention to even and did not close the error."
I think the reasons for these large and important sites such as Rainews24 and others are not worth explaining.
I just want to add, in a world very vulnerable state sites.
Oh yeah I forgot to say that I stopped and I was left with a list of vulnerable sites of domain zones (. Gov.uk,. Gov.vi and others), but they will not leak.
Goodbye. Yours faithfully. Thorwed ...

Matteo Cavallini ha detto...

Hi Thorwed,

thank you very much; I'm very happy that you accepted my invitation.

I left a message for you on Pastebin but you can find my answer in this post: "Thorwed: a conversation with the hacker"

Thank you again and... I'm looking forward to hearing from you.

Ciao,
Matteo

Anonimo ha detto...

Mi spiace per il caro Thorwed.
Ma rainews24 è stato dumpato dall'Alpha_Team.
Infatti come si pùò vedere dai log di Twitter [http://twitter.com/pr0_alpha_team] i dati sono stati pubblicati il 1 gennaio [tra il 31 e il 1].
Ma quelle sono cose da poco.
Guardate tra i nostri log ;)

Posta un commento

http://www.wikio.it