Как сообщил в четверг новостной сайт Wired News, в компьютерой системе одного из крупнейших интернет-магазинов Buy.com была обнаружена «дыра», через которую мог осуществляться несанкционированный доступ к персональной информации (именам, адресам и телефонам) пользователей, возвращающих товары в магазин.
По данным Wired News, проблема затронула как минимум несколько сотен покупателей магазина. Принцип использования "дыры" основывается на том, что сервер компании, которым управляет операционная система Microsoft NT, позволяет покупателям, желающим вернуть товары на склад, получить уникальный url, включающий так называемый «номер покупателя». Открыв страницу, находящуюся по этому адресу, пользователь может распечатать ярлык, который содержит адрес компании и обратный адрес и контактный телефон пользователя, наклеить ярлык на конверт или посылку и отослать по почте.
Но, если пользователь решит поменять «номер покупателя» в адресе страницы, он сможет посмотреть ярлык возврата, которым пользовался другой покупатель, и, следовательно, получить телефон и адрес постороннего человека. Таким же образом могут действовать не только любопытные пользователи, но и представители компаний, охотящихся за персональными данными. Единственным препятствием для злоумышленников является то обстоятельство, что каждый ярлык сохраняется в отдельном файле, поэтому при желании узнать чужие адреса и телефоны взломщики должны будут копировать всю директорию. А чем дольше они останутся на связи с сервером, тем легче их будет отследить.
