Ночью 17 февраля было совершено частичное несанкционированное проникновение в оболочку корпоративного сайта PAYNET, которое было в короткие сроки устранено специалистами компании.
В пресс-службе PAYNET, куда «Газета.uz» обратилась за комментарием, сообщили, что «данный инцидент никак не отразился на функционировании системы приема платежей PAYNET, и компания продолжает работать в стабильном и безопасном режиме».
«Корпоративный сайт компании никак не связан с системой приема платежей PAYNET. Сайт предназначен только для ознакомления с самой компанией и ее услугами», – пояснили в пресс-службе.
Нарушители, именующие себя Узбекской кибер-армией и Хакерским клубом программистов, заменили тексты и заголовки нескольких новостей на сайте PAYNET. Пользуясь случаем, довольные взломщики передали приветы своим друзьям, родным (перечислены Боходир, Бобур, Ортик, Сарвар, Нодир) и «всем-всем».
«Серёзный ущерба нету. Мы взломали чтоб вы сделали сайт более безопасным..!! Вот так вот… Пишите, берем заказы на взлом почт… icq :) сайтов…))», – написали взломщики (орфография сохранена).
Стоит отметить, что это не первый похожий инцидент с начала года. Утром 1 января была осуществлена хакерская атака на один из серверов компании Billur.net. Как сообщил хостинг-провайдер, были повреждены начальные (индексные) страницы всех сайтов, расположенных на сервере номер 4, и нанесен ущерб панели управления Plesk, что не позволяло запускать ее в штатном режиме. Данные сайтов, базы данных MySQL и PostgresSQL и содержание почтовых ящиков не были повреждены.
На прошлой неделе группа, называющая себя Azerbaijan Defacers, заменила заголовок и текст одной новости в русской версии сайта «Узбекистон темир йулари» и разместила еще одну новость. Взломщики оставили краткую надпись «HaCKeD by_The_BL3Z».
Эта же группа также на прошлой неделе внедрила Javascript-код в одну из новостей на сайте Центра среднего специального, профессионального образования Министерства высшего и среднего специального образования. В результате при открытии главной страницы сайта осуществляется перенаправление на страницу с турецким доменом с надписью: «Azerbaijan Defacers: No one and nothing will be forgotten».
Несмотря на то, что со времени взломов последних двух сайтов прошло уже несколько дней, а также попытки интернет-пользователей привлечь внимание владельцев этих сайтов, меры по устранению проблемы до сих пор не приняты.
«Первопричиной любого дефейса является то, что владельцы сайтов не уделяют достаточно внимания вопросам безопасности своих ресурсов», – прокомментировали «Газете.uz» в Службе реагирования на компьютерные инциденты UZ-CERT при Центре UZINFOCOM.
По словам представителей UZ-CERT, типичные и наиболее распространенные бреши в защите, приводящие к дефейсам или скрытому внедрению вредоносного кода, это:
- слабая аутентификация (простые пароли или их отсутствие),
- заражение компьютеров владельцев сайтов вредоносным программным обеспечением,
- наличие уязвимостей в скриптах сайта либо в программном обеспечении сервера.
«По поводу сайта Центра ССПО можно с определенной долей уверенности сказать, что дефейсу способствовала проблема с аутентификацией на данном вебсайте», – отметили в UZ-CERT.
Для предотвращения подобных случаев в Службе реагирования на компьютерные инциденты советуют внедрить правильную политику аутентификации на вебсайте и соблюдать ее.
По возможности стоит ограничить доступ к административным панелям не только паролем, но и по IP-адресу, а также использовать при администрировании защищенное соединение (HTTPS).
Кроме того, рекомендуется использовать антивирусное программное обеспечение, чтобы предотвратить перехват и похищение паролей на учетные записи администраторов сайтов и регулярно обновлять программное обеспечение вебсайта и сервера.
Возможно, владельцы вебсайтов слабо осведомлены о существующих проблемах в защите своих ресурсов и способах решения этих проблем, предположили в UZ-CERT, посоветовав в случае возникновения подобных проблем обращаться за консультацией по телефону, электронной почте или через онлайн-форум службы.
