آسیب‌پذیری تزریق SQL در شرکت موساک فونسکا، عامل انتشار اسناد پاناما

محققان شرکت امنیتی Grey hat نقایصی را در سامانه‌های شرکت پانامایی موساک فونسکا یافته‌اند که موجب افشای اسناد پاناما شد.
یک «پژوهش‌گر زیرزمینی» به سبک خود ادعا می‌کند که یک نقص تزریق SQL را روی یکی از سامانه‌های هوشمند وکلای پاناما یافته است.
او از طریق پروفایل توییتر خود با شناسه‌ی ۱x۰۱۲۳ گفته است: «آن‌ها سامانه جدید مدیریت محتوای پرداخت این شرکت را به‌روزرسانی کرده‌اند، اما فراموش کرده‌اند که پوشه /onion/ را قفل کنند.»
متخصصان شرکت موساک فونسکا به مشتریان خود کمک می‌کردند تا شرکت‌هایی را به عنوان پناهگاه برای فرار مالیاتی به مانند British Virgin Islands ایجاد کنند. افشای اطلاعات مشتریان این شرکت به عنوان اسناد پاناما موجب یکی از بزرگترین رسوایی‌های سیاسی شده است.
وکلای این شرکت به مشتریان در اوایل ماه آوریل اطلاع داده‌اند که افشای اطلاعات به روزنامه‌نگاران بیشتر به نفوذ در سامانه رایانامه‌های این شرکت برمی‌گردد تا اینکه یک افشاگر این کار را انجام داده باشد. این ناکارامدی آشکار برای قفل کردن مناسب سامانه‌ها در این شرایط عجیب و غریب به نظر می‌رسد.
یک منبع امنیت اطلاعات که کارشناسان را در مورد این آسیب‌پذیری مطلع کرده‌ است به خبرگزاری‌ها گفته است: «به نظر می‌رسد که شرکت موساک فونسکا واقعاً سطح امنیتی بسیار پایینی دارد که چنین نفوذگرانی همچنان برای تفریح به نفوذ به سامانه آن ادامه دادند.»
در کشاکش افشای مسائل امنیتی شرکت موساک فونسکا، همان نفوذگران در چند هفته گذشته به منابع رسانه‌های مهمی نظیر لس‌آنجلس تایمز و نیویورک تایمز حمله کردند و در کنار سایر حملات خود پیشنهادی برای فروش دسترسی‌های خود به سامانه‌های نا امن NASA را نیز ارائه کرده‌اند.
همین نفوذگر ۱x۰۱۲۳ با ادوارد اسنودن تماس گرفته و به او برخی از حفره‌ها را در یکی از پروژه‌های او یادآور شده است. اسنودن روز یکشنبه گزارش این حفره را در وب‌گاه بنیاد آزادی مطبوعات که با کمک اسنودن راه‌اندازی شده است، تأیید کرده است.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

اسکن امنیتی وب سایت
(5000 تومان)

نوع وب سایت: وبلاگ، شرکتی، تجارت الکترونیک و کسب و کارحرفه ای
آسیب پذیری های OWASP (شامل بررسی 10 آسیب پذیری متداول)
اسکن نرم افزار/وب سایت توسط Acunetix نسخه 11
اسکن تمامی پورت ها با ابزار Nmap
اسکن وب سرور و پیکربندی آن توسط ابزار Nikto
اسکن تزریق توسط نرم افزار قدرتمند SQLmap