Xakep #305. Многошаговые SQL-инъекции
Как сообщил новостной сайт Register, в понедельник специалист по программному обеспечению заявил журналистам, что в выходные он без труда взломал компьютерную систему американского банка и получил доступ к счетам пользователей.
Ральф Дрессел, эксперт по программному обеспечению инвестиционного банка Royal Skandia, сообщил журналистам, что на выходных взломал защиту нескольких американских банков, которые использовали для защиты информации технологию, разработанную компанией Fiserv. Метод взлома он разработал, основываясь на информации, найденной им на сайте компании.
Дрессел сообщил журналистам, что, по его мнению, никакой защиты в системах этих банков не предусмотрено, поскольку в течение пяти минут он получил доступ к подробной информации о сотнях пользователей. По мнению Дрессела, любой, кто владеет основными навыками работы с Интернетом, мог бы сделать то же самое.
Прежде, чем совершить этот взлом, Дрессел обратился с предостережением о плохой защищенности банковских систем в газету Observer и, чтобы подтвердить свои слова, передал сотрудникам газеты данные о трех произвольно выбранных им пользователях банка, включая номер счета и пароль для смены pin-кода.
Дрессел был весьма расстроен результатами своего расследования, равно как и реакцией взломанных банков. Представитель Royal Skandia по связям с общественностью заявил, что Дрессел предпочел некоторое время не общаться с прессой. Компания пока не решила, можно ли предъявлять по этому делу какое-либо обвинение, учитывая то, что Дрессел совершил свою акцию в выходные дни, не используя оборудование фирмы, и, кроме того, весьма огорчен случившимся.
Компания Fiserve производит программное обеспечение для банков, которым пользуются свыше 10 тысяч финансовых учреждений по всему миру, включая онлайн-представительство одной из крупнейших английских финансовых компаний Abbey National. Представитель Abbey National заявил, что их клиенты защищены программным обеспечением, разработанным внутри компании, и не пострадали от взлома.
Представители компании Fiserve пока не дали никаких комментариев журналистам. Сайт Register призвал Дрессела связаться с редакцией сайта и изложить свою точку зрения на происходящее.