Skype.com, Oracle.com và UN.org bị hack

PHONG VÂN (theo Softpedia)

TTO - Hacker "mũ xám" mang bí danh D35m0nd142 đã khai thác lỗ hổng bảo mật để thâm nhập vào máy chủ web của ba website lớn, bao gồm: Skype.com, Oracle.com và UN.org.

25 hacker Anonymous bị Interpol bắt giữ

Phóng to

Chiến tích của vụ thâm nhập ba website được D35m0nd142 công bố - Ảnh: Softpedia

Website chính thức của phần mềm hội thoại qua Internet (VoIP) Microsoft Skype (Skype.com) đã bị hacker khai thác lỗi Blind SQL Injection, cho phép truy xuất vào trong máy chủ web.

"Trên website Skype, tôi tìm thấy khá nhiều lỗi dạng Blind SQL Injection. Tôi đã công bố 8 lỗi trên Pastebin nhưng vẫn còn nhiều lỗi nữa", D35m0nd142 cho biết. Hacker mũ xám này cũng đã liên hệ tới quản trị viên điều hành website Skype để thông báo lỗi vì "website có rất nhiều thành viên và một lỗi như SQL Injection là rất rất nguy hiểm".

Phóng to

Cấu trúc dữ liệu trên máy chủ các website Skype.com, Oracle.com và UN.org được công bố bởi D35m0nd142 - Ảnh: Softpedia

Thông qua một lỗi tương tự, hacker cũng đã thâm nhập vào website cộng đồng của Oracle, về lý thuyết, vụ thâm nhập vào hệ thống có thể được hacker tận dụng gây ra những hậu quả nghiêm trọng.

"Theo quan điểm của tôi, lỗi SQL Injection là mối nguy hại trực tuyến lớn nhất. Chỉ từ một lỗ hổng nhỏ, kẻ tấn công có thể đánh cắp hàng ngàn hay hàng triệu tài khoản người dùng, mật khẩu hay thẻ tín dụng", D35m0nd142 nhận định. "Hầu hết các website đều vướng phải lỗi này".

Kế đến, sau khi bị nhóm TeaMp0isoN tấn công vào ngày 10-2 vừa qua, website của Liên Hiệp Quốc (UN.org) lại tiếp tục bị D35m0nd142 thâm nhập qua lỗi từ cơ sở dữ liệu Microsoft SQL, vượt qua các cổng bảo mật được dựng lên bởi quản trị website United Nations (Liên Hiệp Quốc).

Như vậy, chỉ trong 20 ngày, website Liên Hiệp Quốc đã bị tấn công và thâm nhập máy chủ đến ba lần. TeaMp0isoN mở màn, đến R00tw0rm và Inj3ct0r vào ngày 28-2 và nay là D35m0nd142. Dữ liệu trong máy chủ UN.org lần lượt bị công khai trên mạng Pastebin.

Có may mắn trong rủi ro, D35m0nd142 là hacker mũ xám (*) nên sau khi thâm nhập, toàn bộ dữ liệu không bị tổn hại và người điều hành hệ thống đã được thông báo về các lỗi nguy hiểm trên để khắc phục.

Trong tuần trước, D35m0nd142 bổ sung vào danh sách thành tích của mình với các website thuộc về lực lượng quân đội Hoa Kỳ, hải quân hoàng gia, MIT, Cục Dự trữ liên bang Mỹ (US Federal Reserve) và lần thứ hai thâm nhập vào website hệ cơ sở dữ liệu mở MySQL (mySQL.com).