Kapustkiy是一名专业的渗透测试人员,他的目标主要是全世界范围内的各种企业、组织和各国大使馆。近期,他还成功入侵了巴拉圭驻台湾大使馆。而就在几天之前,这名黑客和他的朋友Kasimierz又成功入侵了印度驻瑞士、马里、罗马尼亚、意大利、马拉维和利比亚的大使馆。当时印度当局还专门发布了一条官方声明,并在声明中感谢这位年轻的黑客发现了他们网站中存在的漏洞。印度政府电子政务与信息技术部门的联合秘书Sanjay Kumar Verma在声明中说到:“感谢你为我们网站所提供的建议,我们正在一点一点地修复网站代码中存在的每一个问题。你的帮助可以让全球各地印度大使馆的网站系统变得更加安全。”
据了解,除了上述印度大使馆之外,被Kapustkiy成功入侵的网站还包括弗吉尼亚大学的两个子域名、威斯康星大学的一个子域名和印度驻纽约大使馆。
昨天,他与Securityaffairs网站的记者Pierluigi Paganini进行了联系,因为他成功入侵了印度政府的一个网站。在此次入侵过程中,他访问到了该网站的后台数据库,并且获取到了四万五千多名用户的机密数据,其中包括用户的登录凭证。
Kapustkiy表示,他利用了该政府网站中的一个SQL注入漏洞成功获取到了后台数据库的访问权限。为此,他还专门在Pastebin上发了一张帖子,并在帖子中提供了一份Excel文件,其中就包含有泄漏数据库中的用户记录。这份Excel文档中包含有用户的电子邮件地址、用户名、以及经过加密处理的用户密码。
据统计,这份Excel文件中只包含有大约9000条数据记录。这位年轻的黑客目前只公布了其中的一小部分泄漏数据,因为他想给印度的信息安全专家足够的时间去解决该网站中目前存在的安全问题。
后续报道
入侵成功之后,Kapustkiy首先与该网站的管理员进行了联系,并将网站漏洞的信息报告给了网站管理员,但是他并没有得到任何的回复。不过在该网站的数据泄露事件被曝光之后,有人把这个网站调成了维护模式。
该黑客在接受采访时表示:“我到目前为止都没有得到该网站管理员的任何回应,我希望他们能够尽快修复网站中存在的安全问题,并提升网站的整体安全性。”
在这篇文章发稿时,这份泄漏文件仍然可以在网上找到。
来源:安全客(http://m.bobao.360.cn/news/detail/3769.html)