El Ministerio de Defensa de Reino Unido, acaba de sufrir un hackeo de sus sistemas informáticos por parte de miembros del grupo denominado Null Hacking Crew, en concreto las cuentas llamadas @OfficialNull y @Timoxeline, son las que han publicado los datos obtenidos, que constan de 3400 cuentas de correo y contraseñas de este ministerio.
En concreto, la intromisión se ha producido en su website www.qhm.mod.uk, consiguiendo vulnerar la seguridad del sistema mediante el método de inyección SQL. Al parecer, el sistema de la página no resultaba demasiado seguro ya que guardaba las contraseñas en un texto plano (denominado robots.txt), fichero del que se conoce públicamente su vulnerabilidad y que es fácilmente accesible por cualquier técnico de sistemas con algo de experiencia. Por ello, mas que frente a un ataque sofisticado, nos encontramos con un fallo de seguridad mayúsculo, máxime cuando dicho fichero es usado, habitualmente, como mejora de la navegación, no como almacén de usuarios y contraseñas, precisamente por su fácil acceso. Como ejemplo, señalaremos que el robot de Google,que explora las páginas webs, es uno de los ficheros que lee en primer lugar.
Con el Trendy Toppic #FuckTheSystem, mantiene un hilo abierto en Twiter en el que también han publicado una nota sobre la operación, bastante soez, en la que se vanaglorian del hackeo en cuestión. En el hilo, amenazan también al Departamento de Seguridad Nacional de EEUU, lo que puede significar que es bastante probable que cometieran un error similar y ya tengan la documentación robada.
Vía | The hacker News
