Gadgetshowto
For anden gang i marts indisk telecom BSNLs hjemmeside er blevet hacket og denne gang er det ikke af en etisk hacker, men en reel sabotagegruppe kaldet LulzSec. Den indiske arm fra gruppen af hackere - eller hacktivister, som de kalder sig selv - raidede BSNLs hjemmeside og erstattet det med en hånende besked.
Alt dette fandt sted et par dage efter, at en fransk sikkerhedsforsker, der er populær af sit Twitter-alias Elliot Anderson, opdagede en stor fejl i BSNL's internt tilgængelige underdomæner, der gav ham adgang til en database med 47.000 ansatte. Faktisk blev dette seneste hack også fremhævet af forskeren, der opfordrede hackere til at underrette regeringsembedsmænd om enhver sikkerhedsnedsættelse i stedet for at ødelægge et websted.
Men dette angreb på BSNL var delvist en hån, delvis en form for protest mod den indiske it-lov fra 2000, der tillader, at etiske hackere retsforfølges for at finde ud af sårbarheder på offentlige og andre offentligt relevante websteder. Elliot fandt også et andet underdomæne på BSNLs netværk forstyrret af en anden hacker.
Jeg fandt 2 hackede @BSNLCorporate underdomæner i morges.
Vær venlig. Gør ikke det.
Hvis du er dygtig nok til at ødelægge websteder, er det fantastisk. Men vær venlig ikke at gøre det.
Alarmer de berørte ejere, giv dem en chance. Lad os diskutere, hvis de ikke svarer, kan jeg sandsynligvis hjælpe. pic.twitter.com/XmVfpEt6c6
- Elliot Alderson (@ fs0c131y) 6. marts 2018
Dette hack slår BSNLs påstande om at være “fuldt udstyret til at forhindre tab af data relateret til dets medarbejdere, kunder eller interessenter“. Teleoperatøren, der endnu ikke skal udrulle 4G-tjenester bredt i landet, pralede med tillid til sin ”nyeste teknologi" såvel som "fulde sikre datacentre”I en pressemeddelelse, mens man reagerede på resultater fra Alderson. Selvom det nu ser ud til, at disse påstande nu ligger under murbrokkerne fra virksomhedens ødelagte omdømme.
Hvad er endnu mere absurd, at hack kunne have været forhindret havde BSNL taget disse påstande alvorligt. For to år siden havde en IIT Guwahati-alumn Krishna Kothapalli forsøgt at nå ud til teleselskabet og informeret dem om sårbarheden i medarbejderdatabasen, men fik ikke noget svar.
For nu ser det ud til at være intet svar fra BSNL via Twitter eller via pressen. Desuden er der ingen oplysninger om, hvorvidt disse forbrydere kun saboterede forsiden af operatørens websted eller stjal data også. Hjemmesiden er nu gendannet.
