Хакер #305. Многошаговые SQL-инъекции
Немецкое маркетинговое агентство Taylor Nelson Sofres (TNS) допустило
масштабную утечку информации из-за ошибки в онлайновой форме одного из опросов.
Как сообщает издание Chaos Computer Club, любой человек мог получить доступ к
ответам других пользователей – для этого требовалось всего лишь изменить
идентификационный номер участника в браузере. При этом используемые номера не
являлись случайными последовательностями, и при любом изменении номера в
браузере появлялась форма ответов другого участника.
По данным аналитического центра компании Perimetrix, в результате утечки
пострадали 41 тыс. человек, заполнивших анкету TNS. В рамках опроса, им
требовалось указать массу персональных сведений: имена, адреса, даты рождения,
адреса электронной почты и телефонные номера. Кроме того, были скомпрометированы
сведения о доходах, образовании, банковских вкладах, медицинской страховке, а
также используемых кредитных картах. «TNS сделала детскую ошибку в области
разработки веб-приложений. Это непрофессиональная, вопиюще халатная и очень
серьезная утечка, - отметил представитель Chaos Computer Club Дирк Енглинг. –
Компании типа TNS, которые обрабатывают самые чувствительные сведения, должны
обеспечивать максимальный уровень информационной безопасности».
Источник:
Cnews.ru