El 10 de noviembre se publicó en pastebin un archivo que contiene evidencia del acceso a la base de datos del periodico en línea El Rancaguino mediante la técnica de inyección sql. El atacante (@r0st3r) expone información sensible acerca de los usuarios de sistema y la base de datos. La URL por la cual fue […]
El 10 de noviembre se publicó en pastebin un archivo que contiene evidencia del acceso a la base de datos del periodico en línea El Rancaguino mediante la técnica de inyección sql. El atacante (@r0st3r) expone información sensible acerca de los usuarios de sistema y la base de datos.
La URL por la cual fue vulnerado el sistema corresponde a http://www.elrancaguino.cl/rancaguino/noticias_deportes.php la cual mediante la variable “cod“, que no estaba debidamente filtrada, era posible realizar consultas a la base de datos de forma arbitraria.
El nombre de la base de datos a la que accedió es elrancag_rancaweb y la tabla que contiene la información expuesta corresponde a la tabla usuarios.
El atacante da a entender que las claves almacenadas en la base de datos no se encontraban bajo ningún tipo de cifrado, por lo que para proteger a los usuarios, fue él mismo quien las cifró en MD5 para no exponerlas publicamente
Lo curioso es que ese mismo dia otro grupo se adjudico el hecho, lo pueden ver en este link: http://pastebin.com/1H6SvK3R
Los subdominios meceinfo y mime del Ministerio de Educación han sido comprometidos por r0st3r, quien deja un mensaje en el sitio web exponiendo lo básico que es el sistema alojado en dichos subdominios.