Cảnh báo hàng loạt ngân hàng Ấn Độ bị dính lỗ hổng SQL injection

Mặc dù lỗ hỗng SQL Injection (gọi tắt là SQLi) đã tồn tại hơn nữa thập kỷ trước cho đến nay nó vẫn còn tồn tại trên rất nhiều trang web đặt biệt là các trang ngân hàng.

Cảnh báo hàng loạt ngân hàng ấn độ bị dính lỗ hổng SQL injection
Theo phân tích của các công ty bảo mật trên thế giới thì hiện nay, các băng nhóm tội phạm công nghệ cao thay vì tấn công vào nhóm người dùng cuối thì họ lại tấn công vào ngân hàng từ đó dẫn đến nguy cơ mất an toàn cho người sử dụng. Một trong số đó phải kể đến lỗ hỗng bảo mật thần thánh SQLi – lỗ hỗng được xếp hạng là lỗ hổng nguy hiểm nhất nếu bị dính có thể gây rò rỉ thông tin trên diện rộng.

Mới đây một hacker có biệt danh Shaco JX đã tiết lộ hàng loạt lỗ hỗng liên quan đến các ngân hàng có thể bị kẻ xấu lợi dụng khai thác đánh cắp cơ sở dữ liệu, thông tin người dùng thậm chí những thông tin đó có thể rao bán trên thị trường chợ đen.

SQL injection là một kỹ thuật cho phép những kẻ tấn công lợi dụng lỗ hổng của việc kiểm tra dữ liệu đầu vào trong các ứng dụng web và các thông báo lỗi của hệ quản trị cơ sở dữ liệu trả về để inject (tiêm vào) và thi hành các câu lệnh SQL bất hợp pháp. SQL injection có thể cho phép những kẻ tấn công thực hiện các thao tác, delete, insert, update, v.v. trên cơ sở dữ liệu của ứng dụng, thậm chí là server mà ứng dụng đó đang chạy. SQL injection thường được biết đến như là một vật trung gian tấn công trên các ứng dụng web có dữ liệu được quản lý bằng các hệ quản trị cơ sở dữ liệu như SQL Server, MySQL, Oracle, DB2, Sysbase…

Mặt dù Shaco JX đã có trách nhiệm báo cáo lỗ hỗng đến các nhà phát triển ngân hàng: fins, idbank, tnfis,… để vá lỗ hổng nhưng đến nay vẫn chưa thấy phản hồi. Vì vậy trong thời gian chờ đợi phản hồi chúng tôi không đưa ra chi tiết lỗ hổng bảo mật từng trang web. Tuy nhiên chúng tôi sẽ đưa ra video trình diễn cuộc tấn công trong thời gian tới

Bên cạnh việc các ngân hàng bị dính lỗ hỗng bảo mật nghiêm trọng thì đại học Havard đang có lỗ hỗng XSS đang, theo Shaco JX nói ” đã gửi lỗ hổng này đến nhà phát triển havard để vá hỗ hỗng cho đến nay vẫn chưa thấy phản hồi.

Video demo sẽ được công bố trong một vài ngày tới

Shaco JX