База данных сайта действительно содержала критичную информацию: полные имена пользователей, их почтовые адреса, адреса электронной почты и 9 цифр номеров кредитных карт, принадлежащих закрытому недавно магазину на сайте, транспортные проекты города — всего около 600 000 записей. Вероятно, что запросы к базе никак не фильтровались, что и дало возможность Джошуа самому первым написать руководству сайта о выявленных SQL-инъекциях с предупреждением о потенциальных проблемах.
Как водится, сначала на письмо парня никто не обратил внимания или даже не понял о чём оно. Джошуа обратился в местное СМИ и только после этого (открытой публикации всё ещё не было) руководство PTV взбодрилось, но не нашло ничего лучшего, чем обратиться в полицию с заявлением на несанкционированный доступ к их сети. Интересно, что инцидент с Джошуа произошёл через считанные недели после того, что аудит компьютерной безопасности предупредил, что государственные сайты из рук вон плохо готовы к атакам хакеров — всего в них насчитали более сотни дыр.
Местный специалист по кибер-атакам Фил Керник выразился примерно так: да, очевидно, что Роджерс совершил преступление, получив нелегальный доступ к базе, но не меньше виноват и сам сайт, который не был способен защитить свои данные. В итоге, поскольку Джошуа всё-таки не стал оглашать информацию публично, то, вероятно, для него всё закончится сравнительно неплохо, но, — главное — власти официально признали, что "… если этот пацан смог найти [уязвимость], то, наверно, он не был первым".
[Источник]
This entry passed through the Full-Text RSS service — if this is your content and you're reading it on someone else's site, please read the FAQ at fivefilters.org/content-only/faq.php#publishers.
Комментариев нет:
Отправить комментарий