Через дірку в софті електронної черги IKEA хакери дістали особисті дані клієнтів і доступ до службової інформації «Альфа-Банку».

На початку року в Києві відкрився перший офіційний магазин IKEA. C настанням COVID-обмежень торгові центри змушені були рахувати кількість відвідувачів на квадратний метр. У IKEA з’явилася електронна черга.

Залишити коментар
Через дірку в софті електронної черги IKEA хакери дістали особисті дані клієнтів і доступ до службової інформації «Альфа-Банку».

На початку року в Києві відкрився перший офіційний магазин IKEA. C настанням COVID-обмежень торгові центри змушені були рахувати кількість відвідувачів на квадратний метр. У IKEA з’явилася електронна черга.

Ентузіаст повідомив, що знайшли вразливість у системі.

Запис в електронну чергу IKEA виконувався за адресою: http://46.28.194.78:81/services

Він відразу привернув увагу хакерів, бо виглядав незахищеним, без протоколу https. 

Їм вдалося отримати доступ до адмінки.

Адмінка була точкою входу в софтверне рішення з назвою Qmatic orchestra, функціональність якого полягає в управлінні чергою клієнтів.

«Він зробив запит в гугл такого виду: qmatic orchestra default password. І раптово зайшов в цю адмінку з кредами суперадміна, який автоматично створюється при інсталяції», — описуються в статті дії одного з ентузіастів.

В адмінці виявився лог з даними (телефони тощо) всіх, хто записувався в електронну чергу київської IKEA з моменту її створення. Більш того, чергою можна було управляти — написати абсолютно будь-який текст в СМС, який приходив би всім, хто приходив і записувався.

В адмінці знайшлися і контакти інтегратора рішення. Цією компанією виступав HASL.UA.

Ентузіасти успішно підключилися до поштового сервера smtp.hasl.com.ua, де серед іншого зберігалася робоча переписка співробітника. У цьому листуванні з клієнтами виявилися листи з інформацією компаній IKEA,  Альфа-Банку, Vodafone, «Новус» та інших корпорейт клієнтів Hasl: всілякі доступи, ключі до ліцензійного софту та інші службові речі.

Хочете повідомити важливу новину? Пишіть у Telegram-bot.

А також підписуйтесь на наш Telegram-канал — dev.ua | IT України.

Обговорення

Коментарів поки немає.