Hackers hebben onder de naam Anonymous de verantwoordelijkheid opgeëist voor het hacken van het European Space Agency (ESA). De motivatie van de hackers was “For the lulz”, een verwijzing naar Laughing Out Loud, oftewel: voor de grap.
De ruim achtduizend mensen die gehackt zijn, zullen er echter weinig leuks aan vinden. Hun namen, e-mailadressen en wachtwoorden zijn op JustPaste.it geplaatst.
Wachtwoorden
Daarbij hebben de aanvallers de gegevens in drie categorieën ingedeeld: geregistreerde gebruikers, databaseschema’s en ESA-medewerkers. De hackers geven zelf aan dat ze de gegevens hebben bemachtigd van ESA-subdomeinen zoals sci.eas.int, exploration.esa.int en due.esrin.ease.int. Opvallend is dat de meeste gelekte wachtwoorden slechts uit drie karakters, meestal cijfers, bestaan.
SQL-kwetsbaarheid
Journalist Steve Ragan analyseerde de wachtwoorden en constateerde dat bijna veertig procent van de wachtwoorden slechts drie tekens bevatte en ruim vijftien procent acht tekens. Slechts 22 wachtwoorden bestonden uit 20 tekens of meer. Het langste wachtwoord omvatte 24 tekens. De overige hielden hier het midden tussen. Voor zover bekend kwamen de hackers binnen via een blind SQL-kwetsbaarheid. Naar verluidt, gaat het om dezelfde hackers die eerder de website van de United Nations Framework Convention on Climate Change en de World Trade Organization aanvielen.