IMHO.WS - Показать сообщение отдельно - НАКАЗАНИЯ и преступления в сфере высоких технологий и программного обеспечения

Merlin Cori · 22.01.2008, 20:37

Сайт RIAA подвергся дефейсу и лишился базы данных

В конце прошлой недели сайт Американской ассоциации звукозаписывающих компаний (RIAA) фактически подвергся полному разгрому.

Как оказалось, при разработке сайта RIAA была допущена ошибка, так что фактически сайт оказался открыт для SQL-инъекций, - метода атаки, основанного на внедрении в запрос к используемой сайтом базе данных произвольного SQL-кода.

Согласно имеющейся информации, инцидент произошел после того, как некий пользователь разместил на общественном новостном сайте Reddit пример такого ресурсоемкого запроса к базе данных на сервере RIAA, сопроводив его ироничным призывом не использовать ссылку на практике, поскольку это будет неправильно. Впрочем, большинство посетителей Reddit данное предупреждение проигнорировали, и на серверы ассоциации обрушился град SQL-запросов.

Через некоторое время на странице RIAA с пресс-релизами появилась новость, рекламирующая пиратский сайт Pirate Bay, а позднее выяснилось, что база данных сервера ассоциации полностью исчезла. Некоторые обозреватели начали высказывать предположения, что системные администраторы специально отключили базу с целью устранения ошибки. Однако более правдоподобной выглядит версия, согласно которой кто-то из посетителей послал через адресную строку запрос, содержавший команду на удаление базы. И, поскольку задаваемые в адресной строке параметры без предварительной проверки и надлежащей фильтрации вставлялись в SQL-запрос, диверсия оказалась успешной.

Так или иначе, официальные комментарии относительно происшедшего со стороны RIAA пока не поступали. На момент написания заметки сервер ассоциации работал уже в штатном режиме.

Кстати, не исключено, что в ближайшем будущем Американская ассоциация звукозаписывающих компаний может прекратить существование. Дело в том, что Международная федерация производителей фонограмм (IFPI), являющаяся головной организацией RIAA, в настоящее время испытывает серьезные затруднения и может столкнуться с дефицитом денежных средств. Крупнейшие лейблы уже ведут переговоры о необходимости внесения изменений в структуру IFPI, и результатом этих изменений может стать ликвидаций RIAA. К тому же антипиратская деятельность RIAA натыкается на растущее организованное сопротивление.

Источники:
русский перевод:
http://security.compulenta.ru/345613/

оригинал статьи
http://blogs.zdnet.com/ip-telephony/?p=3091

плюс еще здесь:
http://torrentfreak.com/riaa-website-hacked-080120/

22.01.2008, 20:37	# 131
Merlin Cori Moderator Регистрация: 29.04.2002 Адрес: Moscow Пол: Male Сообщения: 2 980	Сайт RIAA подвергся дефейсу и лишился базы данных В конце прошлой недели сайт Американской ассоциации звукозаписывающих компаний (RIAA) фактически подвергся полному разгрому. Как оказалось, при разработке сайта RIAA была допущена ошибка, так что фактически сайт оказался открыт для SQL-инъекций, - метода атаки, основанного на внедрении в запрос к используемой сайтом базе данных произвольного SQL-кода. Согласно имеющейся информации, инцидент произошел после того, как некий пользователь разместил на общественном новостном сайте Reddit пример такого ресурсоемкого запроса к базе данных на сервере RIAA, сопроводив его ироничным призывом не использовать ссылку на практике, поскольку это будет неправильно. Впрочем, большинство посетителей Reddit данное предупреждение проигнорировали, и на серверы ассоциации обрушился град SQL-запросов. Через некоторое время на странице RIAA с пресс-релизами появилась новость, рекламирующая пиратский сайт Pirate Bay, а позднее выяснилось, что база данных сервера ассоциации полностью исчезла. Некоторые обозреватели начали высказывать предположения, что системные администраторы специально отключили базу с целью устранения ошибки. Однако более правдоподобной выглядит версия, согласно которой кто-то из посетителей послал через адресную строку запрос, содержавший команду на удаление базы. И, поскольку задаваемые в адресной строке параметры без предварительной проверки и надлежащей фильтрации вставлялись в SQL-запрос, диверсия оказалась успешной. Так или иначе, официальные комментарии относительно происшедшего со стороны RIAA пока не поступали. На момент написания заметки сервер ассоциации работал уже в штатном режиме. Кстати, не исключено, что в ближайшем будущем Американская ассоциация звукозаписывающих компаний может прекратить существование. Дело в том, что Международная федерация производителей фонограмм (IFPI), являющаяся головной организацией RIAA, в настоящее время испытывает серьезные затруднения и может столкнуться с дефицитом денежных средств. Крупнейшие лейблы уже ведут переговоры о необходимости внесения изменений в структуру IFPI, и результатом этих изменений может стать ликвидаций RIAA. К тому же антипиратская деятельность RIAA натыкается на растущее организованное сопротивление. Источники: русский перевод: http://security.compulenta.ru/345613/ оригинал статьи http://blogs.zdnet.com/ip-telephony/?p=3091 плюс еще здесь: http://torrentfreak.com/riaa-website-hacked-080120/ __________________ Есть две бесконечные вещи, Вселенная и глупость. Впрочем, на счет Вселенной, я не уверен Вклад IMHO.WS в медицину и науку Присоединяйтесь!!!!!