22 may. 2016

Publican video con ataque a sindicato de la Policía de Catalunya

Desde la cuenta de twitter de @GammaGroupPR se publicó información y un video de 39 minutos con la explotación una vulnerabilidad de SQL Injection en un portal de un sindicato con afiliados de la policía de Catalunya, conocidos como Mossos d'Esquadra.
Este portal tiene unificada la base de datos de sus afiliados con la web desarrollada sobre el CMS y se logró el compromiso total del sitio y de las distintas bases de datos.

El atacante Phineas Fisher detrás de este "video tutorial" presuntamente es el mismo quien atacó Gamma Group en 2012 y Hacking Team en 2015, enseñando luego cómo lo había hecho.
En el paso a paso del video se puede ver como se obtienen datos sensibles que incluyen nombres, datos bancarios y datos personales de oficiales de policía. Usando Kali Linux y herramientas como SQLmap y la shell Weevely Phineas Fisher recorre el sitio vulnerable, lanza un ataque exitoso y finalmente descarga toda la base de datos.

Nota: en el video se vé como se utiliza el usuario "chemaalonso" que ya ha aclarado (y de más está decirlo) que esto ha sido una broma del atacante, quien también se encargo de dejarlo claro en su cuenta de Twitter.

Cristian de la Redacción de Segu-Info

2 comentarios:

  1. El ataque no es a la policía de Catalunya, es a la web de uno de los muchos sindicatos donde hay policías afiliados. Y que cometieron el error de tener unificada la base de datos de sus afiliados con la web hecha en WordPress.

    ResponderEliminar

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!