Đã fix lỗi SQL Injection trên hệ thống thử nghiệm cũ của CMC Infosec

Sáng ngày 26/05, CMC INFOSEC đã được cảnh báo về lỗi SQL Injection tồn tại trong hệ thống THỬ NGHIỆM CŨ trước năm 2010 ( không còn được sử dụng) của công ty.

SQL Injection là SQL Injection là một trong những kiểu hack web đang dần trở nên phổ biến hiện nay. Bằng cách inject các mã SQL query/command vào input trước khi chuyển cho ứng dụng web xử lí, bạn có thể login mà không cần username và password, remote execution, dump data và lấy root của SQL server. Công cụ dùng để tấn công là một trình duyệt web bất kì, chẳng hạn như Internet Explorer, Netscape, Lynx, …

Ngay sau khi được thông báo về lỗi này, Công ty đã kiểm tra và đưa hệ thống cũ ra khỏi Internet. Hiện nay các máy chủ bản quyền vẫn an toàn. Quá trình từ khi phát hiện tới khi xử lý phản ứng xong kéo dài khoảng 30 phút.

CMC INFOSEC xin gửi lời cảm ơn và một khoản tiền thưởng đến chuyên gia bảo mật đã đã kịp thời gửi cảnh báo đến CMC INFOSEC.

Ông Triệu Trần Đức, tổng giám đốc CMC INFOSEC giải thích: việc này giống như một vài lần Google bị phát hiện lỗi bảo mật trong các hệ thống đang thử nghiệm (beta) hoặc đã đưa ra khỏi hoạt động chính (non-production).

Về các thông tin khách hàng, ông Đức cho biết :”Các mã key (mã kích hoạt sản phẩm) đều ở dạng mã hóa nên khách hàng không bị ảnh hưởng. Tuy nhiên, có một số địa chỉ email và điện thoại trong cơ sở dữ liệu cũ có thể bị rò rỉ, phía CMC INFOSEC đang tiến hành điều tra thêm về việc này nhằm đảm bảo quyền riêng tư của khách hàng. Quyền lợi của khách hàng trong trường hợp này sẽ luôn được đặt lên hàng đầu.” Đại diện phía CMC INFOSEC cảnh báo rằng các truy cập trái phép đều bị lưu vết.

Ngoài ra, như các hãng công nghệ khác, CMC INFOSEC có chương trình bug bounty ( trả thưởng cho người tìm ra lỗi bảo mật), qua đó khuyến khích các chuyên gia an toàn thông tin, các bạn trẻ nghiên cứu bảo mật nếu phát hiện lỗi bảo mật, kể cả chưa khai thác thành công, đều nên thông báo cho hãng chủ quản theo đúng quy ước của ngành an ninh an toàn thông tin và nhận các phần thưởng tương xứng.

Add Comment

This site uses Akismet to reduce spam. Learn how your comment data is processed.