Vazamento de Dados – Pardinho e PMMG – Lil_Sh4wtyy

Identificamos, em 18/10, publicação no site de compartilhamento de texto Ghostbin contendo vazamento de dados do município de Pardinho/SP e publicação no Twitter com imagem de busca de vulnerabilidade na página da Polícia Militar de Minas Gerais (PM/MG). As ações foram realizadas pelo hacker brasileiro Lil_Sh4wtyy, integrante da equipe ElitePentesting.

O vazamento do município de Pardinho/SP inclui nomes de tabelas da base de dados e credenciais de acesso (usuário/senha) em texto claro.

O ataque não possui conotação político-ideologica, apenas

Continuar Lendo

Vazamento de Dados – Perobal – Purpl3Pand4

Identificamos, em 11/10, nova  publicação nos site de compartilhamento de texto Pastebin.com contendo vazamento de dados da Câmara Municipal de Perobal/PR.

A ação foi novamente reivindicada pelo hacker brasileiro Purpl3Pan4. A motivação para o leak foi claramente político-ideológica, com explícita menção a #OpEleiçãoContraOFascismo convocada pelo AnonOpsBR.

Os vazamentos incluem nomes de tabelas da base de dados e senhas de acesso da aplicação atacada, além dos payloads utilizados na injeção de código SQL (SQLi)

Continuar Lendo

Vazamento de Dados e XSS – NJIT – Knush Yukasan

Identificamos, em 01/10, nova sequência de publicações nos sites de compartilhamento de texto Pastebin e Ghostbin contendo vazamento de dados (New Jersey Institute of Technology) e a publicação de uma série de páginas suscetíveis a Cross-Site Scripting (XSS).

As ações foram novamente realizadas pelo hacker brasileiro Knush Yukasan. Não foi identificada motivação político-ideológica ou qualquer justificativa para as ações.

Continuar Lendo

SQLi e XSS – Vário Alvos – Knush Yukasan

Identificamos, em 27/09, novas publicações no Twitter que indicam a descoberta de vulnerabilidades de Cross-Site Scripting (XSS) em municípios brasileiros e entidades públicas malaias pelo hacker KnushYukasanSantana/AP, Ji-Paraná/RO, Instituto de Zootecnia/SPMalaysian Institute of Road Safety Research (MIROS) e Batang Padang.

Identificamos publicação do hacker KnushYukasan no site de compartilhamento de texto Ghostbin, a qual indica a descoberta de vulnerabilidades de injeção de SQL (SQLi) em entidades brasileiras, peruanas, venezuelanas, mexicanas e malaias.

Continuar Lendo

Vazamento de Dados – Ministério da Defesa – OpEleições

Identificamos na madrugada do dia 25/09,  publicação na conta de Twitter do AnonOpsBR contendo links para os site de compartilhamento de texto Ghostbin, Anonpaste e Pastebin, além de link no Anonfiles para um arquivo. Todos os dados seriam do Ministério da Defesa.

Pelo relatado nas próprias publicações, a ação parece ter explorado uma vulnerabilidade de injeção de SQL (SQLi). Os vazamentos indicam características do servidor atacado, bem como nomes de tabelas do banco de dados. Há, ainda, divulgação de dados

Continuar Lendo

Vazamento de Dados – Vários Alvos – Knush Yukasan e GhosYet

Identificamos, em 21/09, sequência de publicações e no Twitter e nos sites de compartilhamento de texto Ghostbin e Pastebin contendo vazamento de dados do município de Camara Paracambi, divulgação de vulnerabilidades de municípios do Rio de Janeiro e do município de Limeira/SP.

A sequência de ações foi realizada pelos hackers brasileiros Knush Yukasan e GhosYet.

O vazamento inclui nomes de tabelas da base de dados e o conteúdo de algumas das tabelas, as quais contém dados pessoais.

Continuar Lendo

Vazamento de Dados – Vários Alvos – Knush Yukasan

Identificamos, em 19/09, sequência de publicações nos sites de compartilhamento de texto Ghostbin e Pastebin contendo três vazamento de dados: município de Votuporanga/SP, município de  São João/SP e do Instituto de Zootecnia do Estado de São Paulo.

A notável sequência de ações foi realizada pelo hacker brasileiro Knush Yukasan.

Os três vazamentos incluem nomes de tabelas da base de dados e o conteúdo da tabela admin com credenciais de acesso.

Vulnerabilidades

Em uma quarta publicação do hacker Knush Yukasan, foi

Continuar Lendo

Life Hacking: uma forma inusitada de SQL Injection e XSS

O profissionais da área de segurança já estão acostumados às diferentes formas de injeção arbitrária de código em aplicações, especialmente SQL Injection e XSS (Cross-site scripting).

Hoje vamos falar de uma forma um pouco mais excêntrica e insólita de se perpetrar esses ataques: por meio de caneta e papel (!?).

Pois é! Diferente mesmo! 

Na eleição de 2010 na Suécia, alguns eleitores criativos e astutos parecem ter tentado hackear o banco de dados de votação apenas com caneta e papel.

Continuar Lendo

Leak\Deface – Adepol e Sinpol RJ – SySHVC e Malokin

Identificamos, em 16/09, dois ataques independentes contra a Polícia Civil do Estado do Rio de Janeiro.

O primeiro caso foi a desfiguração da página do Sinpol (Sindicado dos Policiais Civis de Rio de Janeiro) pelo hacktivista Malokin, integrante do grupo Akatsuki Gang.

O segundo ataque foi a publicação no site de compartilhamento de texto Pastebin contendo vazamento de dados da Adepol/RJ. A ação foi realizada pelo hacker/grupo chamado SySHVC.

Continuar Lendo

Vulnerabilidades – Vários Alvos (3) – Abkhazyan

Identificamos, em 13/09, nova publicação do grupo Abkhazyan de lista de 9 páginas suscetíveis a injeção de SQL (SQLi).

Duas delas já foram mencionadas aqui no Lab em outras publicações do mesmo grupo (educacao.itapeva.sp.gov.br – Link e saude.am.gov.br – Link), sendo que as demais incluem páginas de governo do Brasil, México e Paquistão.

  • http://www.aquidauana.ms.gov.br/
  • http://www.educacao.itapeva.sp.gov.br/
  • http://www.saude.am.gov.br/
  • http://www.multan.gov.pk/
  • http://www.miguelhidalgo.gob.mx/
  • http://www.eco3d.co.uk/
  • http://www.dockguard.co.uk/
  • http://www.minddesign.co.uk/
  • http://www.thecatching.com/

A publicação ocorreu no site de compartilhamento de código

Continuar Lendo