18 febrero 2013

Anonymous presente en los Goya 2013 y candidato a mejor Inyección SQL

Un año más, Anonymous se hace un hueco en los Goya. Esta vez no han sido protagonistas por organizar una manifestación cerca de la alfombra roja, o por saltar al escenario al más puro estilo Jimmy Jump

Directamente y como es habitual, bajo acciones de lo que han llamado #OpGoya, han explotado supuestamente una inyección SQL en el portal encargado de presentar las candidaturas de la vigésimo-séptima edición de los Premios Goya de la Academia de las Artes y las Ciencias: premiosgoya.academiadecine.com


En este portal, se pueden consultar noticias sobre los premios, candidaturas, finalistas, información sobre la gala, etc.


Pues bien, a eso de las 9 de la noche, desde la cuenta de twitter @Lulz_Es se anunciaba el volcado de una base de datos "peliculas" perteneciente al dominio de la academia, con un total de 78 tablas en su interior, con nombres tan descriptivos como ACADEMICOS, DISTRIBUIDORAS, USUARIOS, VOTACIONES...




Esta vez, los lulzers se decantaron por el servicio de intercambio de información anonpaste.me, en vez de pastebin como suele ser habitual. Como decíamos, se volcaron algunas de las tablas más características de la base de datos, con información de distribuidoras, actores, productoras, profesionales del medio...incluyendo correos electrónicos, números de teléfono,...


Puede que las prisas en lanzar este sitio informativo para la gala ocasionaron un descuido al no validar correctamente los parámetros de los ficheros php que utiliza la página. Lo que está claro es que si bien la información dentro de premiosgoya.academiadecine.com podría resultar de poca importancia, el compartir la base de datos con otros servicios hace que el impacto de la vulnerabilidad sea mayor. La página de academiadecine.com podría ser la más segura del mundo, pero por culpa de este portal y por no crear otra base de datos únicamente para la información de los premios, y limitar los permisos del usuario a dicha base de datos, se ha conseguido acceder a información sensible de usuarios que seguro que no quieren ver sus WhatsApp o buzones de correo ardiendo en llamas. 

Una simple búsqueda en Google con el sitio, seguido del motor de base de datos utilizado por la página, muestra una pista de la grave vulnerabilidad aprovechada para la obtención de esta información.

6 comments :

Blog Tecnico dijo...

No es la primera ni será la última en que una web deja en jaque a todo el hosting compartido. Por ello en los test de intrusión siempre es interesante realizar un reverse whois, ya que es posible que la web a auditar sea segura pero un agujero en otra web que comparte servicios puede que no lo sea y así se vea comprometida la seguridad de la web auditada que en principio era segura.

http://robinsondiaz.com dijo...

Buen Post

Hekate'spassage dijo...

es bueno esto¡?

vity dijo...

Ni políticos, ni peli-culeros, ni gente de malvivir._

Zalman De La Vega dijo...

http://www.abc.es/cultura/cine/20130218/abci-verdu-anuncia-hipotecas-201302181235.html

Vergüenza miralo

Zalman De La Vega dijo...

aahh y otro articulo

http://www.abc.es/estilo/moda/20130219/abci-costo-vestido-lucio-maribel-201302191237.html