NullCrew hackea el Ministerio de Defensa de Reino Unido

Escrito por Adrián Crespo
Seguridad
1

Continúan los hackeos a empresas o instituciones. Esta misma semana sabíamos que el servicio PayPal, Symantec e ImageShack habían sido hackeados, con el robo de datos que ello conllevaba. Sin embargo, y lejos de  acabar ahí los ataques, hoy hemos podido conocer que el Ministerio de Defensa de Reino Unido también ha sido hackeado.

El hackeo, además del deface llevado a cabo en la página, también ha supuesto el robo de 3400 cuentas de correo electrónico, cada una con sus correspondientes credenciales de acceso.

A las cuentas de correo robadas, también hay que añadir que las cuentas de usuario y contraseñas con las que se accede al correo también sirven para acceder al espacio personal que tienen cada uno de estos usuarios en dicho Ministerio.

Una demostración más de como no sólo las empresas descuidan su seguridad, sino que también los hacen las instituciones.

Los hackers han querido reclamar con esta acción, una mayor seguridad de los datos de los usuarios que son usados en las páginas web pertenecientes al Gobierno británico. Afirman que las autoridades se toman a broma la seguridad de los usuarios, y los hackers sostienen que este hackeo no ha sido ninguna broma y que es probable que si la seguridad sigue siendo tana eficiente se verán más hackeos antes de que acabe el año en el que nos encontramos.

A continuación, una pequeña muestra de las cuentas que han sido hackeadas. Por la seguridad de sus usuarios, las contraseñas (que deberían aparecer a la derecha) han sido eliminadas.

Inyección de código SQL

Desde NullCrew han afirmado que el hackeo se ha realizado utilizando un exploit que ha afectado a uno de los formularios que tiene la página del Ministerio de Defensa. Gracias a este problema, han podido inyectar código en la base de datos SQL y así poder acceder a todas las tablas que contenían los datos de los usuarios.

También han añadido que las contraseñas de los usuarios que accedían al servicio eran almacenadas en un fichero de texto plano, sin estar protegido por ningún tipo de cifrado, algo que los hackers han catalogado como lamentable tratándose de uns institución de tal importancia.

Artículos de interés:

Fuente | The Hacker News


Continúa leyendo
  • nolocreo

    Madre mía desde la época que presentando por primera vez esta vulnerabilidad y que a día de hoy después de tantísimos años siga funcionando esto hace de que pensar en los administradores de sistemas y programadores que que no se les de incapie en la parte de la seguridad informática