Index.hu is megvolt!

A Kancellár.hu Zrt. információbiztonsági sérülékenységi vizsgálatot végzett az index.hu felkérésére az általa működtetett közismert index.hu, blog.hu és totalcar.hu oldalakon. A tesztekkel egy esetleges hackertámadás komoly következményeit sikerült megelőzni, mivel az oldalak teljes tartalma hozzáférhető és megváltoztatható volt bizonyos biztonsági réseken keresztül, sőt akár az index.hu működését is átírhatták volna a rosszindulatú behatolók.

A vizsgálatokat az index.hu, a blog.hu és a totalcar.hu oldalakon végezte el a kancellár.hu IT biztonsági szakértÅ‘ csapata. ElÅ‘ször a totalcar.hu rendszerében találtak lehetÅ‘séget arra, hogy adatbázis utasításokat futtassanak közvetlenül webes felületrÅ‘l (’SQL injection’). Így elérték a teljes adatbázist és az onnan szerzett információkkal képesek voltak bejutni az index.hu szerkesztÅ‘i felületére is, ahol egy képfeltöltési hibát kihasználva szinte a teljes rendszerhez hozzá tudtak férni.

Egy rosszindulatú támadó ezeken a lépéseken keresztül akár a teljes belsÅ‘ hálózatot képes lett volna feltörni, és bele tudott volna avatkozni az ott zajló kommunikációba, akár bizalmas adatokat is megszerezve. A kancellár.hu szakértÅ‘i a blog.hu fájlfeltöltÅ‘ rendszerében is találtak egy biztonsági rést, és ezzel bebizonyították, hogy az Internet felÅ‘l egy potenciális támadó számára elérhetÅ‘ lett volna a rendszer összes felhasználójának minden ott tárolt adata.

Egy esetleges támadás során ezek a rések igen nagy kockázati tényezÅ‘t jelenthettek volna az index.hu számára, hiszen majdhogynem a teljes kontroll megszerezhetÅ‘ volt, annak ellenére, hogy a rendszer felépítésérÅ‘l elismerÅ‘en nyilatkoztak az auditálást végzÅ‘ szakemberek.

Manapság a spammerek jelentÅ‘s feketepiacot tudnak magukénak, melynek mérete megközelíti a kábítószer kereskedelem feketepiacát. Ha csupán az így megszerzett e-mail címeket adta volna el egy hacker, már azzal közel kétmillió forintot kereshetett volna.

A biztonsági audit természetesen végig az index.hu hozzájárulásával készült, és minden fent említett biztonsági résrÅ‘l a kancellár.hu szakemberei teljes körűen tájékoztatták az index.hu felelÅ‘s szakembereit, akik a hibák javítását azóta már elvégezték. Ez persze nem jelenti azt, hogy az index.hu vagy bármely másik site, amelyen biztonsági audit készült, attól kezdve feltörhetetlen, de annyi bizonyos, hogy egy ilyen vizsgálattal potenciális támadási felületek szűnnek meg, köszönhetÅ‘en a kancellár.hu felkészült információbiztonsági szakértÅ‘ csapatának.