駭客宣稱已取得Intel內部資料

來源: http://thehackernews.com
標題:Hackers Claims to compromise Intel's Sensitive Data
內文:
一名自2012年來宣稱已經突襲AOL, NASA, Hotmail, Myspace, Xbox, USBANK, Yahoo, and VISA─代號"WeedGrower"或"X-pOSed"的資安研究人員,日前他公布某些網站的敏感資料。


駭客們宣稱他攻陷了Intel內部,且取得使用者信用卡之類的資料。他發現能以登入者透過某些頁面存取Intel的資料庫,他也不客氣的得到信用卡號、社會安全碼、EMAIL和密碼。不僅如此,這名駭客表示若Intel不回應他的需求的話就要公布這些資料。


駭客說,「我仍要給那些假的資安人員一些掌聲。我放過Intel一馬,我讀取了你們的資料庫且還有另一個弱點存在。我會仁慈的不公布那些敏感資料,但我會放出一些照片證明我抓到了信用卡資料。」



駭客提到的第一個弱點類似當初Dell本月稍早發生過的,除了敏感資料被竊取外這並不是很嚴重的弱點。(說明弱點)一個聰明的使用者會瞄準受害者,且註冊相同的子網域,然後取得使用者們的EMAIL,置換原本已被授權的EMAIL,最後偷取受害者的資料。


點選此 連結 為一個範例,眼見為憑。點選 資料來源 ,觀看部分洩漏的資料。


--------------------------------------------------------------------------------
一點想法:


    文章最後說明的手法似乎表示弱點並不存在於Intel.com本身,而是使用者的郵件帳號。我猜攻擊者應是先調查Intel.com中,有哪些使用者和他們的email。有了email名單後,以intel.com的名義寄送一些惡意郵件,若使用者警覺性較低、或是mail provider有弱點,email帳號會被竊取。取得了受害者的email控制權,再去 intel.com 修改已註冊的資料,取代原本合法的mail。


    但是,這種方法不太可能大規模的竊取資料,所以文中提及的"另一個弱點"或許才是主因。

留言

這個網誌中的熱門文章

資安JAVA(八):HTTP強制傳輸安全(HSTS)

以 SharpPcap 實作可收聽封包的 C# 程式

資安JAVA(四):Session Cookie HTTPOnly Flag