Hacking Team บริษัทขายช่องโหว่คอมพิวเตอร์สำเร็จรูปที่ทำให้หน่วยงานรัฐทั่วโลกสามารถเจาะเข้าไปยังคอมพิวเตอร์และโทรศัพท์มือถือของเป้าหมายได้โดยง่ายถูกแฮกเมื่อปีที่แล้ว จน ข้อมูลกว่า 500GB ถูกเผยแพร่ต่อสาธารณะ ตอนนี้แฮกเกอร์ที่เรียกตัวเองว่า Phineas Fisher ก็ออกมาอ้างความรับผิดชอบและเขียนถึงกระบวนการที่เขาดาวน์โหลดข้อมูลภายในทั้งหมดออกมา
เอกสารระบุว่าโครงสร้างคอมพิวเตอร์ของ Hacking Team นั้นดีพอสมควร หน้าเว็บหลักเป็น Joomla ที่ไม่พบช่องโหว่ร้ายแรงใดๆ ส่วนเซิร์ฟเวอร์ที่ลูกค้าเชื่อมต่อเข้ามานั้นก็ต้องการใบรับรองฝั่งไคลเอนต์เพื่อเชื่อมต่อ และอีเมลเซิร์ฟเวอร์ อย่างไรก็ตามเขาสามารถเข้าถึงเซิร์ฟเวอร์เครื่องหนึ่งได้แต่ขอไม่บอกว่าทำได้อย่างไรเพราะช่องโหว่ยังไม่เปิดเผยต่อสาธารณะ
แต่เขาสามารถเข้าถึง root ของเซิร์ฟเวอร์เครื่องหนึ่งในที่สุด และพบเซิร์ฟเวอร์ MongoDB เปิดอยู่ ภายในมีวิดีโอและเสียงที่เก็บมาจากการแฮกรวมถึงเสียงของพนักงานด้วยกันเอง หลังจากนั้นเขาพบดิสก์แบบ iSCSI อยู่ในเครือข่ายและสามารถ mount เข้ามาดูไฟล์ได้ภายในมีแบคอัพของ Domain Administrator อยู่ทำให้เขาเข้าถึงเครื่องได้แทบทั้งหมด แต่เขาก็ตัดสินใจดาวน์โหลดอีเมลก่อน เพราะเสี่ยงว่าหากถูกจับได้ ช่องโหว่ของเขาจะถูกปิดไป แล้วจึงดาวน์โหลดซอร์สโค้ดซึ่งใช้เวลาอีกหลายสัปดาห์
Phineas ระบุแรงจูงใจที่แฮก Hacking Team ว่าบริษัทนี้ละเมิดสิทธิมนุษยชน และระบุว่าการแฮกมีความสวยงามที่ความพยายามเพียงร้อยชั่วโมงทำงาน สามารถทำลายงานนับปีคิดเป็นมูลค่าหลายล้านดอลลาร์ของบริษัทหนึ่งลงได้
ที่มา - Motherboard , Pastebin
Comments
เหนือกว่า Hacking Team ยังมี Phineas Fisher
เหนือฟ้ายังมีฟ้าสินะ
คงเตรียมย้อนหมัดสวน HT อีกที ไม่ก็เตรียมศึกษาการเจาะของ HT ใช่ไหมเนี่ย ล่อเป้าขนาดนี้
เจาะเจ้า ?
เพราะเสียง ?
น่าจะเป็นเจ้าเข้า กับ เสี่ยง
เจาะเข้า กับ เสี่ยงพิมพ์เป็นเจ้าเข้าได้ไง เดี๋ยวสั่นๆๆๆ
เมื่อนักทะลวงพ่ายแพ้ให้กับชาวประมง
ติดสตันท์ไปแป๊บนึง...
อ่อ ฟิชเชอร์