Orange España, второй по величине оператор мобильной связи в Испании, потерпел серьезный сбой в среду после того, как неизвестные получили и использовали чрезвычайно легкий пароль для доступа в аккаунт управления глобальной таблицей маршрутизации интернет-трафика компании.
Как сообщает Arstechnica, хакер вошел в аккаунт RIPE NCC Orange в 7:28, используя пароль «ripeadmin» (без кавычек). Сетевой координационный центр RIPE – один из пяти региональных Интернет-реестров, отвечающих за управление и распределение IP-адресов для Интернет-провайдеров, телекоммуникационных организаций и компаний, управляющих собственной сетевой инфраструктурой. RIPE обслуживает 75 стран Европы, Ближнего Востока и Центральной Азии.
Утечка пароля произошла после того, как пользователь под псевдонимом Snow опубликовал в социальных сетях изображение электронного адреса orange.es, связанного с учетной записью RIPE. В RIPE заявили, что работают над тем, чтобы усилить безопасность аккаунтов.
Компания безопасности Hudson Rock подключила адрес электронной почты к базе данных, которую она поддерживает, чтобы отслеживать учетные данные для продажи на онлайн-базарах. В сообщении фирма заявила, что имя пользователя и «до смешного слабый» пароль были получены вредоносным программным обеспечением для кражи информации, установленной на компьютере Orange с сентября. Затем пароль распространили для продажи на информационном рынке.
Исследователь Кевин Бомонт сказал, что тысячи учетных данных, защищающих другие учетные записи RIPE, также доступны на этих рынках.
Сначала изменения, внесенные Snow, не принесли больших проблем, однако впоследствии ситуация ухудшилась, говорит эксперт Даг Мэдори, опубликовавший технический отчет по взлому. Если коротко, злоумышленник превратил инструмент защиты против кражи маршрутов в отказ в обслуживании для пользователей Orange.
Хуже всего в инциденте то, что мотивы Snow до сих пор неизвестны. Учитывая то, как он вел себя при изменении глобальной таблицы маршрутизации, исследователи предполагают, что тот просто экспериментировал с доступом. К тому же, существует вероятность того, что злоумышленник действовал медленно, чтобы повысить осведомленность о слабом пароле, и усилился лишь тогда, когда увидел мягкую реакцию компании.