Хакер #305. Многошаговые SQL-инъекции
Во второй раз за последние 18 месяцев сайт Monster.com, предоставляющий
услуги в области трудоустройства, допустил утечку огромного количества
персональной информации, принадлежащей миллионам ищущих работу людей. Как
сообщается, утеря информации произошла вследствие нелегального доступа к базам
данных.
Находящийся в Массачусетсе портал предупреждает всех своих пользователей о
том, что сведения о дате их рождения, именах, телефонных номерах, ID, паролях,
электронных адресах, половой и этнической принадлежности были украдены. Сайт в
категоричной форме рекомендует клиентам как можно скорее изменить данные
авторизации и быть настороже на случай появления фишинговых сообщений.
Уведомление о взломе опубликовано на сайте правительственного сервиса USAJobs,
который в своей работе также пользуется информацией с Monster.
В Monster решили не обзванивать своих клиентов и не рассылать им
предупреждений о взломе, ограничившись лишь публикацией памятки, узнать о
существовании которой пользователи могут, лишь посетив корпоративный сайт.
Это уже по крайней мере третий случай, когда Monster.com подвергает
доверившихся ему людей риску из-за серьезных уязвимостей в системе безопасности.
В августе 2007 года при помощи трояна, использовавшего ворованные данные
авторизации, злоумышленники
похитили резюме, принадлежащие одному миллиону тремстам тысячам соискателей.
Через несколько дней после этого многие пользователи ресурса подверглись
целенаправленным фишинговым атакам. После этого компания под гром фанфар
объявила о внедрении улучшенных мер безопасности, однако уже спустя два месяца
пострадала от киберпреступников вновь, тогда хакеры получили возможность
заражать посетителей сайта
вредоносным ПО, скомпрометировав списки вакансий.