Украинка помогла хакерам “слить” данные тысяч россиян: эксперт раскрыл детали взлома
Харьковчанка предоставила корпоративные учетные записи, благодаря которым специалисты из “Украинского Кибер Альянса” отыскали критическую уязвимость системы.
Жительница Харькова по имени Дарья устроилась на работу в российскую компанию и помогла хакерам завладеть данными тысяч россиян. Об этом сооснователь общественной организации “Украинский Кибер Альянс” (Ukrainian Cyber Alliance) Андрей Баранович сообщил на своей странице в Facebook.
24 февраля, когда началось полномасштабное российское вторжение в Украину, у Дарьи был назначен первый рабочий день в российской онлайн-школе по изучению английского языка Skyeng. Украинка не смогла работать, ведь на Харьков обрушились крылатые ракеты РФ, но она успела получить учетную запись в системе.
Девушка обратилась к хакерамм и передала доступ к своим аккаунтам. По словам Андрея Барановича, специалисты изучили систему Skyeng и быстро нашли хорошую небезопасную прямую ссылку на объект (Insecure direct object reference или IDOR) — это уязвимость управления доступом в цифровой безопасности. Она появляется, когда веб-сервис или интерфейс использует идентификатор для прямого доступа ко внутренней базе данных, но не проверяет аутентификацию.
“10 тысяч записей дорогих россиян. Даже с юзерпиками. Видимо, мы там не первые, потому что в июне часть той же самой базы появилась на тематических форумах”, — написал Андрей Баранович. — “Мы же в свою очередь, напоминаем о том, что мы базы не продаем, а только показываем. И Дарье спасибо огромное за то, что запустила нас внутрь. Если мародеры, военные преступники и оккупанты думают спрятаться, то у них не выйдет”.
В комментариях эксперт разместил заявление от Skyeng в Telegram, компания отрицает утечку данных из своей системы и уверяет, что вся пользовательская информация надежно защищена. “Опубликованные новости — просто ложная и вводящая в заблуждения информация”, — отмечается в посте.
Ранее в “Сбербанке” заявили, что с начала войны в Украине хакеры украли данные 65 млн россиян. При помощи одних лишь DDoS-атак пользователям удалось нарушить работу веб-сервисов 87 крупных компаний из РФ.
“Тамошняя минцифра списывает все на инсайдеров. Вы же понимаете, это только в России настоящие суперхакеры, а в остальных странах скидди погулять вышли. Но иногда инсайдер может оказать неоценимую помощь”, — прокомментировал Андрей Баранович.