Gadgetshowto
Podruhé v březnu indické telco Web BSNL byl napaden hackery a tentokrát to není etický hacker, ale skutečný sabotážní skupina s názvem LulzSec. Indické rameno skupiny hackerů - nebo hacktivistů, jak si říkají - vpadlo na domovskou stránku BSNL a nahradil posměšnou zprávou.
K tomu všemu došlo několik dní poté, co francouzský výzkumník v oblasti bezpečnosti, který je oblíbený svým twitterovým aliasem Elliotem Andersonem, objevil zásadní chybu v interně přístupných subdoménách BSNL, která mu umožnila přístup k databázi 47 000 zaměstnanců. Ve skutečnosti tento nejnovější hacker zdůraznil také výzkumník, který vyzval hackery, aby namísto znehodnocování webových stránek informovali vládní úředníky o jakékoli bezpečnostní nevýhodě.
Ale tento útok na BSNL byl částečně výsměchem, částečně formou protest proti indickému zákonu o IT z roku 2000, který umožňuje stíhání etických hackerů pro zjištění zranitelnosti ve vládě a na dalších veřejně relevantních webech. Elliot také zjistil, že další subdoména v síti BSNL byla narušena jiným hackerem.
Dnes ráno jsem našel 2 hacknuté subdomény @BSNLCorporate.
Prosím. Nedělej to.
Pokud jste dostatečně zruční na to, abyste znetvořili weby, je to úžasné. Ale prosím, nedělej to.
Upozorněte dotčené majitele, dejte jim šanci. Pokud neodpoví, pojďme diskutovat, pravděpodobně mohu pomoci. pic.twitter.com/XmVfpEt6c6
- Elliot Alderson (@ fs0c131y) 6. března 2018
Tento hack překonává tvrzení BSNL o tom, že „plně přizpůsobený tak, aby zabránil jakékoli ztrátě dat týkajících se jejích zaměstnanců, zákazníků nebo zúčastněných stran". Telekomunikační operátor, který v celé zemi ještě nezavádí služby 4G, se s jistotou chlubil „poslední technologie" jakož i "plně zabezpečená datová centra“V tiskové zprávě a v reakci na zjištění Aldersona. Ačkoli se nyní zdá, že tato tvrzení nyní leží pod troskami zničené reputace společnosti.
Co je ještě absurdnější, že hacku bylo možné zabránit brala BSNL tato tvrzení vážně. Před dvěma lety se absolvent IIT Guwahati Krishna Kothapalli pokusil kontaktovat telco a informoval je o zranitelnosti v databázi zaměstnanců, ale nedostal žádnou odpověď.
Zatím se zdá, že existuje žádná odpověď od BSNL přes Twitter nebo prostřednictvím tisku. Kromě toho neexistují žádné informace o tom, zda tito ničemové sabotovali pouze přední stránku webu operátora nebo také ukradli data. Web byl nyní obnoven.
