Met SQL-injecties heeft de Roemeense hacker toegang verkregen tot de servers van een Franse (HSBC) en twee Belgische banken (ING België en Dexia). Bij ING België vond Unu wachtwoorden van beheerders onversleuteld aan, opgeslagen in platte tekst.

Klantgegevens ingezien

Bij Dexia waren er volgens Unu mogelijkheden om via de command line volledige controle te krijgen over de server. Bij beide banken kon de hacker namen en e-mailadressen van klanten inzien.

Bij HSBC France, een van de grootste banken van Frankrijk, was de beveiliging nog beroerder. In dit geval gaf een simpele SQL-injectie toegang de volledige server. Ook daar waren de wachtwoorden van beheerders onbeschermd, schrijft Softpedia, die als eerste berichtte over deze nieuwe verrichtingen van Unu.

Ontslagen

Gunter Ollmann van beveilingsfirma Damballa vindt dat ict'ers behoren te weten dat je geen wachtwoorden opslaat in leesbare vorm. "Dat is een enorme no no! Ze moeten beter weten. In veel organisaties zouden ontwikkelaars hiervoor ontslagen worden."

Unu wist onlangs met een SQL-injectie ook toegang te krijgen tot een website van het Britse parlement. Via een onveilig deel van de site lifepeeragesact.parliament.uk kon hij allerlei logingegevens vinden. Eerder trok Unu al gehele databases van de Franse provider Orange en van Kaspersky leeg.

Grey hat

Unu noemt zichzelf een zogenaamde grey hat hacker. Dat is iemand die hackt om kwetsbaarheden bloot te leggen, niet om rijk te worden. Toch is dat een hacker die ook soms de wet overtreedt om zijn doel te bereiken.