Nie obyło się bez awantury
- Nazwa oraz hasło administratora.
- Nazwa, hasło administratora oraz nazwa hostów.
- Nazwy użytkowników i hasła.
- Nazwy użytkowników i adresy email.
- Nazwy użytkowników, hasła, adresy email, adresy ip użytkowników, rodzaje użytkowników.
- Nazwy użytkowników, Pełne nazwy, hasła.
- Nazwy użytkowników, Pełne nazwy, emaile, pełne adresy, numery telefonów, numery kart kredytowych, nazwy banków, numery kont bankowych.
- Pełne nazwy, nazwy szkół, adresy email, numery telefonów.
Ogłoszone już zostały miejsca podatne na atak, nie ujawniono jednak jeszcze pobranych na poniższych stronach danych:
- Blog fanowski o nazwie zbliżonej do UEFA Euro 2012.
- Strona stadionu piłkarskiego – oficjalny stadion EURO 2012.
G Data podejrzewa, że skradzione dane, pochodzą właśnie z tych dwóch podatnych na atak stronach:
- Blog: nazwa użytkownika, email, hasło, miasto, ulubiony klub sportowy, identyfikator społecznościowy.
- Stadion: nazwa, hasło, telefon, email.
- Być może inne. W tej chwili G Data nie była w stanie tego sprawdzić. Płacąc za bilet mogłeś pozostawić tam dane twojej karty kredytowej lub innych danych bankowości.
W jaki sposób odbył się atak? Dwoma metodami.
- SQL Injection, czyli luka w zabezpieczeniach aplikacji webowskich. Polega ona na nieodpowiednim zastosowaniu filtrów lub niewłaściwego typowania najczęściej danych wprowadzanych przez formularze na stronie. Dane zamieniane na zapytania SQL mogą modyfikować, kasować, dodawać, poprawiać dane w bazach danych portali internetowych. Wynika to najczęściej z braku wyobraźni lub słabych umiejętności programisty.
- CRLF Injection. Atakujący może przygotować atak cross-site scripting i więcej exploitów wykorzystując tę technikę. Wysyła specjalnie spreparowane zapytania http w celu zmanipulowania odpowiedzi serwerów www.
Sporządzono szczegółową instrukcję ataku na jeden z serwisów i udało się powtórzyć próbę ataku.