Стас ЮрасовТаке життя
2 грудня 2021, 09:58
2021-12-02
Через дірку в софті електронної черги IKEA хакери дістали особисті дані клієнтів і доступ до службової інформації «Альфа-Банку».
На початку року в Києві відкрився перший офіційний магазин IKEA. C настанням COVID-обмежень торгові центри змушені були рахувати кількість відвідувачів на квадратний метр. У IKEA з’явилася електронна черга.
Він відразу привернув увагу хакерів, бо виглядав незахищеним, без протоколу https.
Їм вдалося отримати доступ до адмінки.
Адмінка була точкою входу в софтверне рішення з назвою Qmatic orchestra, функціональність якого полягає в управлінні чергою клієнтів.
«Він зробив запит в гугл такого виду: qmatic orchestra default password. І раптово зайшов в цю адмінку з кредами суперадміна, який автоматично створюється при інсталяції», — описуються в статті дії одного з ентузіастів.
В адмінці виявився лог з даними (телефони тощо) всіх, хто записувався в електронну чергу київської IKEA з моменту її створення. Більш того, чергою можна було управляти — написати абсолютно будь-який текст в СМС, який приходив би всім, хто приходив і записувався.
В адмінці знайшлися і контакти інтегратора рішення. Цією компанією виступав HASL.UA.
Ентузіасти успішно підключилися до поштового сервера smtp.hasl.com.ua, де серед іншого зберігалася робоча переписка співробітника. У цьому листуванні з клієнтами виявилися листи з інформацією компаній IKEA, Альфа-Банку, Vodafone, «Новус» та інших корпорейт клієнтів Hasl: всілякі доступи, ключі до ліцензійного софту та інші службові речі.
УЧАСТЬ В АЗАРТНИХ ІГРАХ МОЖЕ ВИКЛИКАТИ ІГРОВУ ЗАЛЕЖНІСТЬ. ДОТРИМУЙТЕСЯ ПРАВИЛ (ПРИНЦИПІВ) ВІДПОВІДАЛЬНОЇ ГРИ.
Ліцензія видана ТОВ "СЛОТС Ю.ЕЙ." на провадження діяльності з організації та проведення азартних ігор казино у мережі Інтернет від 15.09.23 (рішення КРАІЛ №245 від 31.08.2023); ТОВ "СЛОТС Ю.ЕЙ." – на провадження діяльності з організації та проведення азартних ігор казино у мережі Інтернет від 26.04.2021 (рішення КРАІЛ №150 від 12.04.2021); ТОВ «СПЕЙСИКС» – на провадження діяльності з організації та проведення азартних ігор казино у мережі Інтернет від 08.02.2021 (рішення КРАІЛ №34 від 02.02.2021); ТОВ «ГЕЙМДЕВ» – на провадження діяльності з організації та проведення азартних ігор казино у мережі Інтернет від 16.02.2021 (рішення № 47 від 10.02.2021).