پایگاه داده های اوراکل را به سادگی می توان هک کرد!

رایورز - یک پژوهشگر امنیتی ادعا می کند که پایگاه داده های این شرکت به دلیل یک نقص در قسمت تایید اطلاعات در مقابل حملات جستجوی فراگیر(brute-force attacks) آسیب پذیر است.

طبق اخبار آزمایشگاه امنیتی کاسپرسکی (Kaspersky) امروز یک محقق نشان داد که پایگاه داده های اوراکل را می توان فقط با استفاده از نام پایگاه داده ها و یک نام کاربری، با حملات جستجوی فراگیر هک کرد.

استبن مارتینز فایو که برای AppSec Inc کار می کند این کشف خود را در یک کنفرانس امنیتی در آرژانتین نشان داد و گفت که درعرض فقط 5 ساعت با استفاده از یک ابزار خاص و بر روی یک کامپیوتر معمولی توانسته است با استفاده از کلمه عبوری ساده آن را هک کند و به اطلاعات کاربران دسترسی پیدا کند.

مارتینز فایو به وبلاگ امنیتی Dark reading)) گفت: کار نسبتاً ساده ای است. کافی است مهاجم یک نام کاربری معتبر و نام پایگاه داده را بداند. همین!

مارتینز می گوید که او نقایص پنهانی در قسمت تأیید کلمه عبور پیدا کرده است که به آسانی اجازه حملات جستجوی فراگیر را می دهد. طبق گفته های مارتینزفایواین کرک نیازی به یک مهاجم واسط برای فریب دادن کاربران متعدد ندارد؛ اطلاعات ضروری از خود سرور به مهاجم درز پیدا می کند.

منبع: