Hackean el Parlamento británico


Un hacker rumano ha conseguido hacer uso de exploits e inyección de código SQL en la página del parlamento británico dejando al descubierto las claves de administración de la web entre otros, mostrando la precaria seguridad de la web. El hacker, Unu, realiza de forma periódica comprobaciones de sitios web de alto rango frente a ese tipo de vulnerabilidades. En particular ha Kaspersky, BitDefender, F-Secure, Symantec, The International Herald Tribute, The Telegraph y British Telecom, entre otros.

Según Unu, la vulnerabilidad está localizada en el script PHP que utilizan en la sección lifepeeragesact.parliament.uk que falla a la hora de filtrar las peticiones y parámetros que pasan por él. Dicho problema hace posible un ataque potencial que revele datos relevantes albergados en la base de datos que podrían hacer que la URL fuera manipulada.

Click para ampliar.

Tal y como mostramos en las capturas de pantalla, el servidor web corre en Debian 4.0 (Etch) Linux con MySQL 5.0.32. La base de datos se llama parliament_live y, por fortuna, no puede accederse desde un cliente remoto. Sin embargo la base de datos no almacena las contraseñas de manera cifrada, sino en texto plano, lo que las hace visibles si se realiza la petición correcta. Además las contraseñas son realmente débiles desde un punto de vista de la seguridad, prácticamente iguales al nombre y en la mayoría de casos palabras normales sin símbolos ni números.

Click para ampliar.

Unu ha hecho uso en el pasado de una revelación responsable de las vulnerabilidades, sin embargo en esta ocasión no ha sido así. Ha ofrecido los datos públicamente y en las capturas han sido tachados a propósito posteriormente, para evitar daños mayores.

Deja un comentario

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s