За допомогою Google можна отримати несанкціонований доступ до даних на web-сайтах

admin Новини ІТ-безпеки

За допомогою Google можна отримати несанкціонований доступ до даних на web-сайтахВідомо, що інструменти пошуковика Google можуть використовуватися хакерами для пошуку даних в інформаційних системах різних організацій. Цей спосіб злому, що отримав назву Google-доркінг (Google dorking), протягом багатьох років використовувався дослідниками безпеки для проведення перевірок захищеності своїх клієнтів.

За словами видання Ars Technica, Міністерство внутрішньої безпеки США (US Department of Homeland Security) спільно з ФБР розіслали повідомлення поліції та персоналу щодо забезпечення публічної безпеки. В них попереджається про небезпеку Google-доркінг.

Приміром, якщо під час пошуку хакер введе в рядок пошуковика параметри filetype: xls intext: username, він побачить список усіх XLS-файлів, що містять рядок з іменами користувачів. Такий же спосіб використовується для отримання доступу до логінів і паролів, банківських даних і вразливостям на web-сайтах.

У повідомленні наведено кілька прикладів злому ряду web-сайтів за допомогою Google-доркінг. Крім цього, згадується про існування ПЗ Diggity Project, що дозволяє перевірити стійкість сайта до таких атак.

Відзначимо, що проведення Google-доркінг можливо лише завдяки тому, що адміністратори і власники web-сайтів не приділяють достатньої уваги базовим правилам безпеки.