Hacker kraakt beveiliger met sql-injectie
Gepubliceerd: Dinsdag 12 april 2011
Auteur: Uhro van der Pluijm
Een anonieme hacker heeft met behulp van een sql-injectie de website van beveiligingsbedrijf Barracuda gehackt. Hij wist op die manier onder andere namen en e-mailadressen van het bedrijf te stelen.
Een hacker heeft afgelopen weekend ingebroken bij beveiligingsbedrijf Barracuda Networks, dat onder andere spam- en virusfilters en bijvoorbeeld firewalls maakt. Met behulp van een sql-injectie wist hij de hand te leggen op namen en e-mailadresen en telefoonnummers van medewerkers, partners en (potentiële) klanten van het bedrijf.
Firewall uitgeschakeld
De hacker, die zichzelf 'Fdf' noemt, plaatste maandag een bewijs van zijn inbraak op een weblog. Daarin openbaarde hij delen van de privégegevens die hij buit maakte, ook post hij de nog versleutelde wachtwoorden. De hacker van de Hmsec crew laat daarnaast zien uit welke database en tabellen hij de gegevens heeft gehaald.
Barracuda heeft de hack van haar website inmiddels bevestigd. Het bedrijf laat in een verklaring weten dat de aanval op haar website zaterdagavond (Amerikaanse tijd) startte. Dat gebeurde op een moment dat de Web Application Firewall, die het bedrijf als beveiliging gebruikt, uitgeschakeld was voor onderhoud.
Kwetsbaar script
Nadat de hacker een paar uur lang de website had afgetast, vond hij een manier waarop die kwetsbaar was voor sql-injectie. Dat gat zat in een script dat gebruikt wordt om onderzoeken voor individuele klanten te tonen. Door het gat kwam hij in de database die Barracuda gebruikt voor marketingdoeleinden en lead development.
Barracuda benadrukt dat er op de webserver geen financiële gegevens zijn opgeslagen. Die zijn dus nooit in gevaar geweest.
Derde beveiligingsbedrijf
Barracuda is het derde beveiligingsbedrijf in korte tijd dat slachtoffer is van een grote hack. Vorige maand werd er ingebroken bij beveiliger RSA. Hackers stalen toen geheime informatie over het veelgebruikte authenticatieproduct SecurID.
Hackerscollectief Anonymous kraakte in februari de database en e-mail van consultantsbureau HBGary. De groep deed dat omdat het bedrijf kernleden van Anonymous zei te hebben en de groep kapot wilde maken.
Ook MySQL zelf gehackt
Twee weken geleden werd bekend dat ook de maker van MySQL werd gehackt met behulp van sql-injectie. De hackers van Oracle wisten door de database te kraken gebruikersgegevens buit te maken en openbaarden die gegevens.
Sql-injectie is relatief eenvoudig als de voorkant van een website zonder controle via de url tegen een database 'praat'. Normaal worden de opties in de url, samen met eerder vastgestelde dingen als commando naar de database gestuurd. Door bij die opties andere commando's in te voeren is het echter bij een slecht script ook mogelijk om hele andere velden uit de database uit te lezen of zelfs te wijzigen.
