Un hacker pretende haber ganado acceso total a la página web de la Marina Real Británica y la base de datos subyacente mediante un ataque de inyección SQL.

La revelación pública fue hecha por un entusiasta de seguridad rumano que utiliza en línea el apodo "TinKode."

El hacker de sombrero gris se especializa en la búsqueda de vulnerabilidades de la web como la inyección SQL y cross-site scripting (XSS).

En julio él reveló una debilidad de alto riesgo en YouTube, que posteriormente fue usada para envenenar comentarios de vídeo.

En un nuevo post en su blog, TinKode afirma que el compromiso de www.royalnavy.mod.uk ocurrió el 5 de noviembre a las 22: 55. La zona horaria no se especifica, pero Rumania es en UTC +02: 00.

El hacker menciona que el vector de ataque fue la inyección SQL, pero afortunadamente, él no divulga públicamente la URL vulnerable.

Sin embargo, da un vínculo a un archivo alojado en pastebin.com, que contiene información confidencial recopilada desde el servidor y la base de datos de la Web de la Marina Real.

Esto incluye una copia del archivo /etc/passwd, una lista de bases de datos MySQL, y también las tablas para algunas de ellas.

Para la base de datos "globalops", que suponemos que corresponde a la sección "Global Operations" del sitio web, TinKode enumera el contenido de la tabla "admin_users". Esto incluye las cuentas administrativas y sus correspondientes hashes de contraseñas.

El hacker incluso descifró la contraseña con hash para el usuario llamado "admin", y la publicó en texto sin formato. Basta decir que es ridículamente simple y en ningún modo apropiado para un sitio web militar.

Además, también ha registrado nombres de usuario y contraseñas hash para la sección "Jack Speak" blogs del sitio, que parece estar ejecutando WordPress. Hemos alertado el equipo de Royal Navy Web, pero todavía no recibimos una respuesta. Mientras tanto, el sitio web permanece en línea.

Inyección SQL es un tipo de vulnerabilidad, que deriva de un fallo en sanear correctamente la entrada del usuario. Permite a los atacantes ejecutar consultas delincuentes de base de datos mediante la manipulación de la dirección de URL vulnerable.

TinKode ha divulgado previamente vulnerabilidades similares en sitios web de la NASA y el ejército de los Estados Unidos- U.S Army. Al final de octubre anunció vulnerabilidades en los sitios web pertenecientes a U.S. Army 470th MI Brigade, U.S. Army Civil Affairs & Psychological Operations Command y National Weather Service (el Servicio meteorológico nacional).