Профессионалам в области безопасности следует быть повнимательнее – если они
сделают свою работу недостаточно хорошо, их могут не просто уволить, но и отдать
под суд. Так, фирма-продавец компьютерных комплектующих и бытовой электроники из
США на днях согласилась признать претензии Федеральной торговой комиссии (FTC)
этой страны, касающиеся нарушений федерального закона, допущенных вследствие
неспособности обеспечить приемлемый уровень безопасности важной клиентской
информации. FTC обвиняет компанию в непринятии мер по предотвращению
SQL-инъекций, в результате которых были скомпрометированы данные о покупателях.

Согласно претензии FTC, Compgeeks.com (Compgeeks) и ее материнская компания
Genica, владеющие сайтом Geeks.com, собирали со своих клиентов персональные
сведения, необходимые для авторизации покупок по кредитным картам. В ходе
многочисленных хакерских атак с применением SQL-инъекций, которые имели место в
промежуток с января по июнь 2007 года, данные были скомпрометированы, причем в
Compgeeks не знали об этом вплоть до декабря того же года.

В претензии также содержится информация о том, что по крайней мере до декабря
2007 года персональная информация о клиентах хранилась в корпоративной сети
Compgeeks в незашифрованном виде. Кроме этого, иск констатирует неспособность
специалистов компании к адекватной оценке степени уязвимости сетевых приложений
к широко известным или легко прогнозируемым атакам, таким как, например,
SQL-инъекции.

Федеральная торговая комиссия потребовала от Compgeeks.com разработать и
внедрить всеобъемлющий комплекс мер, направленный на обеспечение
административной, технической и физической безопасности. Также компанию обязали
к ежегодному проведению внешнего аудита на предмет удовлетворения претензий в
течение следующих 10 лет.



Оставить мнение