Gadgetshowto
For andre gang i mars, indisk telco BSNLs nettsted er hacket og denne gangen er det ikke av en etisk hacker, men en ekte sabotasjegruppe kalt LulzSec. Den indiske armen til hackergruppen - eller hacktivister som de kaller seg - raidet BSNLs hjemmeside og erstattet den med en hånende melding.
Alt dette skjedde et par dager etter at en fransk sikkerhetsforsker, som er populær av sitt Twitter-alias Elliot Anderson, oppdaget en stor feil i de internt tilgjengelige underdomenene til BSNL som ga ham tilgang til en database med 47 000 ansatte. Faktisk ble denne siste hackingen også fremhevet av forskeren som oppfordret hackere til å varsle offentlige tjenestemenn om eventuelle sikkerhetsmessige ulemper i stedet for å ødelegge et nettsted..
Men dette angrepet på BSNL var delvis en hån, delvis en form for protest mot Indian IT Act of 2000 som tillater at etiske hackere kan straffeforfølges for å finne ut sårbarheter i offentlige og andre offentlig relevante nettsteder. Elliot fant også et annet underdomener på BSNLs nettverk forstyrret av en annen hacker.
Jeg fant to hackede @BSNLCorporate underdomener i morges.
Vær så snill. Ikke gjør det.
Hvis du er dyktig nok til å ødelegge nettsteder, er det fantastisk. Men ikke gjør det.
Varsle de berørte eierne, gi dem en sjanse. Hvis de ikke svarer, la oss diskutere, jeg kan sannsynligvis hjelpe. pic.twitter.com/XmVfpEt6c6
- Elliot Alderson (@ fs0c131y) 6. mars 2018
Dette hacket slår BSNLs påstander om å være “fullt utstyrt for å forhindre tap av data relatert til sine ansatte, kunder eller interessenter“. Teleoperatøren, som ennå ikke skal lansere 4G-tjenester mye i landet, skrøt med tillit av sin “nyeste teknologi" i tillegg til "fulle sikre datasentre”I en pressemelding mens han svarte på funn av Alderson. Selv om det nå ser ut til at disse påstandene nå ligger under mursteinene i selskapets knuste rykte.
Hva er enda mer absurd at hack kunne vært forhindret hadde BSNL tatt disse påstandene på alvor. For to år siden hadde en IIT Guwahati-alumn Krishna Kothapalli forsøkt å nå ut til teletelefonen og informert dem om sårbarheten i medarbeiderdatabasen, men fikk ikke noe svar.
For nå ser det ut til å være ikke noe svar fra BSNL over Twitter eller via pressen. Videre er det ingen informasjon om hvorvidt disse forbryterne bare saboterte forsiden av operatørens nettsted eller stjal data også. Nettstedet er nå gjenopprettet.
