Киберэксперт предупредила о фишинге через уязвимость Roundcube Webmail
Почтовый хостинг-провайдер Cock.li пострадал от утечки данных. Хакеры использовали уязвимость SQL-инъекции в Roundcube Webmail, что позволило им получить доступ к данным более миллиона пользователей. Киберэксперт и инженер-аналитик компании «Газинформсервис» Екатерина Едемская предупредила, что украденная информация представляет серьезную угрозу фишинговых атак.
«Уязвимость SQL-инъекции позволяет злоумышленнику внедрять произвольные SQL-запросы в веб-приложение, в данном случае это привело к похищению информации, такой как контактные данные, временные метки входов, языковые настройки и другие метаданные. Важно отметить, что пароли пользователей и содержимое их писем остались защищенными, что указывает на возможное использование правильных методов изоляции критичных данных на уровне базы данных. Однако украденная информация может быть использована для проведения фишинговых атак», — подчеркнула Едемская.
Киберэксперт отметила, что с точки зрения защиты веб-приложений, важнейшей мерой является защита от SQL-инъекций с использованием подготовленных запросов (prepared statements), что исключает возможность внедрения вредоносных данных. Также необходимо внедрить Web Application Firewall, который фильтрует подозрительные SQL-запросы и другие вредоносные действия. Для повышения уровня безопасности в будущем Cock.li и аналогичные сервисы должны пересмотреть свою архитектуру защиты, включая обязательное использование шифрования данных как в покое, так и в процессе передачи, а также внедрение более эффективных методов управления доступом.
«Для организаций, стремящихся повысить уровень защиты баз данных и приложений, можно рассмотреть использование таких решений, как Jatoba от компании «Газинформсервис», которые обеспечивают эффективные механизмы защиты от несанкционированных SQL-запросов и инъекций, мониторинг активности пользователей, журналирование операций и другие функции, способствующие укреплению безопасности на всех уровнях системы», — подытожила инженер-аналитик.