Google jako zbraň

Nechráněná data na jeden klik Kvality vyhledávače Google jsou dobře známé a jen díky nim si tato služba získala so...


Nechráněná data na jeden klik
Kvality vyhledávače Google jsou dobře známé a jen díky nim si tato služba
získala současnou bezkonkurenční oblibu. Google má ale i svoji odvrácenou tvář.
V tomto článku se podíváme na možnost zneužít Google jako hackerský útočný
nástroj. Možný postup popsal internetový magazín Wired. Obsáhlou databázi
Google a jeho indexovací schopnosti lze využít pro vyhledání serverů, které
nemají zabezpečený databázový webový frontend.
Hackerovi stačí zadat dostatečně promyšlený dotaz do vyhledávače, aby za něj
odvedl nepříjemnou práci a našel server, který nemá zabezpečenou databázi pro
vstup zvenčí. "Google, patřičně použitý, má větší útočný potenciál, než
jakýkoliv jiný hackovací nástroj," uvedl hacker Adrian Lamo, který o poslední
hrozbě informoval.
Základní myšlenka je velmi elegantní. Proč se snažit v záplavě webů najít ten,
který má otevřený přístup k databázi, když stránka, která tento přístup
poskytuje, bude jistě indexovaná Googlem? Potom tedy např. zadáním fráze
"select a database to view" získáte kolem 200 odkazů, vedoucích povětšinou na
interface aplikace FileMaker Pro, používané jako jednodušší nástroj pro přístup
k databázím prostřednictvím webového prohlížeče. Některé z odkazů pak směřují
ke zdrojům citlivých informací. Jeden vás např. dovede k osobním údajům
(adresám, telefonním číslům a podrobným životopisům) několika set lektorů firmy
Apple, včetně jejich uživatelských jmen a hesel. Databáze není nijak chráněna
(to však již v době uveřejnění tohoto článku pravděpodobně neplatí).
Další link pak odkazuje na stránky fakulty medicíny Drexel University s
databází 5500 pacientů fakultní neurochirurgie.
Každý záznam obsahuje adresu, telefonní číslo i podrobný chorobopis. V tomto
případě byla databáze "chráněna" heslem, shodným s názvem databáze. Okamžitě po
upozornění na chybu její správce server odstavil.
Organizace, provozující Google, si je vlastní odpovědnosti za možné zneužití
přístupu k citlivým datům zřejmě vědoma, a tak už nyní nabízí webmasterům
nástroj, který dokáže nedbale zabezpečené a zveřejněné informace z indexu
Googlu odstranit během 24 hodin.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.