Через дірку в софті електронної черги IKEA хакери дістали особисті дані клієнтів і доступ до службової інформації «Альфа-Банку».

На початку року в Києві відкрився перший офіційний магазин IKEA. C настанням COVID-обмежень торгові центри змушені були рахувати кількість відвідувачів на квадратний метр. У IKEA з’явилася електронна черга.

Залишити коментар
Через дірку в софті електронної черги IKEA хакери дістали особисті дані клієнтів і доступ до службової інформації «Альфа-Банку».

На початку року в Києві відкрився перший офіційний магазин IKEA. C настанням COVID-обмежень торгові центри змушені були рахувати кількість відвідувачів на квадратний метр. У IKEA з’явилася електронна черга.

Ентузіаст повідомив, що знайшли вразливість у системі.

Запис в електронну чергу IKEA виконувався за адресою: http://46.28.194.78:81/services

Він відразу привернув увагу хакерів, бо виглядав незахищеним, без протоколу https. 

Їм вдалося отримати доступ до адмінки.

Адмінка була точкою входу в софтверне рішення з назвою Qmatic orchestra, функціональність якого полягає в управлінні чергою клієнтів.

«Він зробив запит в гугл такого виду: qmatic orchestra default password. І раптово зайшов в цю адмінку з кредами суперадміна, який автоматично створюється при інсталяції», — описуються в статті дії одного з ентузіастів.

В адмінці виявився лог з даними (телефони тощо) всіх, хто записувався в електронну чергу київської IKEA з моменту її створення. Більш того, чергою можна було управляти — написати абсолютно будь-який текст в СМС, який приходив би всім, хто приходив і записувався.

В адмінці знайшлися і контакти інтегратора рішення. Цією компанією виступав HASL.UA.

Ентузіасти успішно підключилися до поштового сервера smtp.hasl.com.ua, де серед іншого зберігалася робоча переписка співробітника. У цьому листуванні з клієнтами виявилися листи з інформацією компаній IKEA,  Альфа-Банку, Vodafone, «Новус» та інших корпорейт клієнтів Hasl: всілякі доступи, ключі до ліцензійного софту та інші службові речі.

Новий випуск «З фронту в IT» про айтівців, які повертаються до цивільного життя після ЗСУ.

Історія світчера з Тернопільщини, який змінив агро на IT, а IT на ЗСУ

УЧАСТЬ В АЗАРТНИХ ІГРАХ МОЖЕ ВИКЛИКАТИ ІГРОВУ ЗАЛЕЖНІСТЬ. ДОТРИМУЙТЕСЯ ПРАВИЛ (ПРИНЦИПІВ) ВІДПОВІДАЛЬНОЇ ГРИ.
Ліцензія видана ТОВ "СЛОТС Ю.ЕЙ." на провадження діяльності з організації та проведення азартних ігор казино у мережі Інтернет від 15.09.23 (рішення КРАІЛ №245 від 31.08.2023); ТОВ "СЛОТС Ю.ЕЙ." – на провадження діяльності з організації та проведення азартних ігор казино у мережі Інтернет від 26.04.2021 (рішення КРАІЛ №150 від 12.04.2021); ТОВ «СПЕЙСИКС» – на провадження діяльності з організації та проведення азартних ігор казино у мережі Інтернет від 08.02.2021 (рішення КРАІЛ №34 від 02.02.2021); ТОВ «ГЕЙМДЕВ» – на провадження діяльності з організації та проведення азартних ігор казино у мережі Інтернет від 16.02.2021 (рішення № 47 від 10.02.2021).
Читайте також
Хакери атакують українських операторів і провайдерів телекомунікацій
Хакери атакують українських операторів і провайдерів телекомунікацій
Хакери атакують українських операторів і провайдерів телекомунікацій
Шпигунський софт Pegasus зламав телефон іспанського прем’єра та міністерки оборони. Голову розвідки Іспанії звільнили за халатність
Шпигунський софт Pegasus зламав телефон іспанського прем’єра та міністерки оборони. Голову розвідки Іспанії звільнили за халатність
Шпигунський софт Pegasus зламав телефон іспанського прем’єра та міністерки оборони. Голову розвідки Іспанії звільнили за халатність
Не тільки рф. ТОП-5 хакерських угруповань, що найчастіше атакують Україну
Не тільки рф. ТОП-5 хакерських угруповань, що найчастіше атакують Україну
Не тільки рф. ТОП-5 хакерських угруповань, що найчастіше атакують Україну
Білоруські хакери зламували соцмережі українських військових і публікували заклики здаватися. 5 висновків зі звіту Meta
Білоруські хакери зламували соцмережі українських військових і публікували заклики здаватися. 5 висновків зі звіту Meta
Білоруські хакери зламували соцмережі українських військових і публікували заклики здаватися. 5 висновків зі звіту Meta

Хочете повідомити важливу новину? Пишіть у Telegram-бот

Головні події та корисні посилання в нашому Telegram-каналі

Обговорення
Коментарів поки немає.