O site ‘Test your Hacker IQ’ da Deloitte falha após expor nome de usuário do banco de dados, senha no arquivo config

Views: 109
0 0
Read Time:1 Minute, 47 Second

Site de teste de segurança criado por consultores inclui rodada bônus inadvertida

Um site criado para a consultoria global Deloitte para questionar as pessoas sobre o conhecimento de táticas de hackers provou-se vulnerável a hackers.

O site, encontrado na URL insegura não-HTTPS, torna seu arquivo de configuração YAML acessível publicamente. E dentro do arquivo, em cleartext, está o nome de usuário e senha para o banco de dados mySQL do site.http://deloittehackeriq.com/

O site convida os visitantes a “Testar seu QI hacker” digitando um nome de usuário. Em seguida, ele coloca uma série de perguntas de múltipla escolha sobre técnicas empregadas por hackers para obter informações corporativas. O teste não cobre a possibilidade de senhas expostas publicamente.

O erro foi detectado na quarta-feira por Tillie Kottmann, consultora e desenvolvedora de TI com sede na Suíça que usa a alça “deletescape“. O site foi retirado na quarta-feira.

Hey @Deloitte, o que exatamente é o meu QI hacker agora? pic.twitter.com/Bqv25kdDsU— Tillie Kottmann 💛🤍💜🖤 (@antiproprietary) 4 de novembro de 2020

Kottmann publicou em agosto materiais técnicos intel vazados, bem como código fonte SonarQube.

O domínio foi registrado pela Tank Design, uma empresa de marketing digital com sede em Massachusetts, em 2015 e o site inclui um aviso de direitos autorais da Deloitte Development LLC de 2015.deloittehackeriq.com

Kottmann disse ao The Register que o último compromisso com seu .git repo foi em 2017 e disse que não está claro quão ativamente o site está sendo usado. O site foi capturado pela primeira vez pela Máquina Wayback do Internet Archive em 2018.

Compondo ainda mais a vulnerabilidade do site, o quiz está hospedado no Ubuntu Linux 14.04, que parou de receber patches de segurança em abril do ano passado e é potencialmente vulnerável a 11 falhas conhecidas.

Kottmann disse: “Talvez valha a pena mencionar que um monte de sites, incluindo algumas outras grandes corporações, têm .git [repositórios] expostos em vários domínios.”

O Register pediu à Deloitte e à Tank Design para comentar, mas não tivemos resposta. 

FONTE: THE REGISTER

Previous post Mandiant detalhes recentemente corrigido Oracle Solaris Zero-Day
Next post Capcom hackeada. Desenvolvedor de jogos Resident Evil divulga ataque cibernético

Deixe um comentário