💳 Термінова новина! Trustee Plus — найкраще рішення для розрахунку криптою 👉
Стас ЮрасовТакая жизнь
2 декабря 2021, 09:58
2021-12-02
Через дыру в софте электронной очереди IKEA хакеры заполучили личные данные клиентов и доступ к служебной информации «Альфа-банка».
В начале года в Киеве открылся первый официальный магазин IKEA. C наступлением COVID-ограничений торговые центры вынуждены были считать количество посетителей на квадратный метр. У IKEA появилась электронная очередь.
Он сразу привлек внимание хакеров, так как выглядел незащищенным, без протокола https.
Им удалось получить доступ к админке.
Админка являлась точкой входа в софтверное решение с названием Qmatic orchestra, функциональность которой заключается в управлении очередью клиентов.
«Он сделал запрос в гугл такого вида: qmatic orchestra default password. И внезапно зашел в эту админку с кредами суперадмина, который автоматически создается при инсталляции», — описываются в статье действия одного из энтузиастов.
В админке обнаружился лог с данными (телефоны и т. д.) всех, кто записывался в электронную очередь киевской IKEA с момента ее создания. Более того, очередью можно было управлять — написать совершенно любой текст в СМС, который приходил бы всем, кто приходил и записывался.
В админке нашлись и контакты интегратора решения. Этой компанией выступал HASL.UA.
Энтузиасты успешно подключились к почтовому серверу smtp.hasl.com.ua, где среди прочего хранилась рабочая переписка сотрудника. В этой переписке с клиентами обнаружились письма с сенситивной информацией компаний IKEA, «Альфа-банка», Vodafone, «Новус» и других корпорейт клиентов Hasl: всевозможные доступы, ключи к лицензионному софту и прочие служебные вещи.
УЧАСТЬ В АЗАРТНИХ ІГРАХ МОЖЕ ВИКЛИКАТИ ІГРОВУ ЗАЛЕЖНІСТЬ. ДОТРИМУЙТЕСЯ ПРАВИЛ (ПРИНЦИПІВ) ВІДПОВІДАЛЬНОЇ ГРИ.
Ліцензія видана ТОВ "СЛОТС Ю.ЕЙ." на провадження діяльності з організації та проведення азартних ігор казино у мережі Інтернет від 15.09.23 (рішення КРАІЛ №245 від 31.08.2023); ТОВ "СЛОТС Ю.ЕЙ." – на провадження діяльності з організації та проведення азартних ігор казино у мережі Інтернет від 26.04.2021 (рішення КРАІЛ №150 від 12.04.2021); ТОВ «СПЕЙСИКС» – на провадження діяльності з організації та проведення азартних ігор казино у мережі Інтернет від 08.02.2021 (рішення КРАІЛ №34 від 02.02.2021); ТОВ «ГЕЙМДЕВ» – на провадження діяльності з організації та проведення азартних ігор казино у мережі Інтернет від 16.02.2021 (рішення № 47 від 10.02.2021).