Hacking Team บริษัทขายช่องโหว่คอมพิวเตอร์สำเร็จรูปที่ทำให้หน่วยงานรัฐทั่วโลกสามารถเจาะเข้าไปยังคอมพิวเตอร์และโทรศัพท์มือถือของเป้าหมายได้โดยง่ายถูกแฮกเมื่อปีที่แล้ว จนข้อมูลกว่า 500GB ถูกเผยแพร่ต่อสาธารณะ ตอนนี้แฮกเกอร์ที่เรียกตัวเองว่า Phineas Fisher ก็ออกมาอ้างความรับผิดชอบและเขียนถึงกระบวนการที่เขาดาวน์โหลดข้อมูลภายในทั้งหมดออกมา
เอกสารระบุว่าโครงสร้างคอมพิวเตอร์ของ Hacking Team นั้นดีพอสมควร หน้าเว็บหลักเป็น Joomla ที่ไม่พบช่องโหว่ร้ายแรงใดๆ ส่วนเซิร์ฟเวอร์ที่ลูกค้าเชื่อมต่อเข้ามานั้นก็ต้องการใบรับรองฝั่งไคลเอนต์เพื่อเชื่อมต่อ และอีเมลเซิร์ฟเวอร์ อย่างไรก็ตามเขาสามารถเข้าถึงเซิร์ฟเวอร์เครื่องหนึ่งได้แต่ขอไม่บอกว่าทำได้อย่างไรเพราะช่องโหว่ยังไม่เปิดเผยต่อสาธารณะ
แต่เขาสามารถเข้าถึง root ของเซิร์ฟเวอร์เครื่องหนึ่งในที่สุด และพบเซิร์ฟเวอร์ MongoDB เปิดอยู่ ภายในมีวิดีโอและเสียงที่เก็บมาจากการแฮกรวมถึงเสียงของพนักงานด้วยกันเอง หลังจากนั้นเขาพบดิสก์แบบ iSCSI อยู่ในเครือข่ายและสามารถ mount เข้ามาดูไฟล์ได้ภายในมีแบคอัพของ Domain Administrator อยู่ทำให้เขาเข้าถึงเครื่องได้แทบทั้งหมด แต่เขาก็ตัดสินใจดาวน์โหลดอีเมลก่อน เพราะเสี่ยงว่าหากถูกจับได้ ช่องโหว่ของเขาจะถูกปิดไป แล้วจึงดาวน์โหลดซอร์สโค้ดซึ่งใช้เวลาอีกหลายสัปดาห์
Phineas ระบุแรงจูงใจที่แฮก Hacking Team ว่าบริษัทนี้ละเมิดสิทธิมนุษยชน และระบุว่าการแฮกมีความสวยงามที่ความพยายามเพียงร้อยชั่วโมงทำงาน สามารถทำลายงานนับปีคิดเป็นมูลค่าหลายล้านดอลลาร์ของบริษัทหนึ่งลงได้
ที่มา - Motherboard, Pastebin