Идея облачных вычислений обнажила еще одну из своих темных сторон. Автором
очередного разоблачения стал эксперт в области безопасности Расс Макри,
продемонстрировавший, как уязвимость одного поставщика услуг может вызвать
неприятности у множества его клиентов.

На этот раз речь идет о компании
Baynote, предлагающей
различные SaaS-сервисы компаниям, занятым в сфере технологий, электронной
коммерции и так далее. После того, как Макри обнаружил в функции
Social
Search
на сайте Baynote ошибку в межсайтовом скриптинге, в его руках
оказалось всё необходимое для проведения атак на клиентов Baynote, использующих
эту функцию.

Выложенное Рассом Макри
видео
демонстрирует, что обнаруженный баг можно эксплуатировать на многих сайтах
используя единый шаблон типа http://[название клиента].com/socialsearch/query?cn=[клиент]&cc=us&q=.
В числе уязвимых к данному багу клиентов компании оказались, например, LSI
Corporation и NetApp.

Макри, тем не менее, подчеркнул, что в Baynote сразу откликнулись на его
уведомление и быстро устранили проблему. Однако подобного рода открытия
демонстрируют нам возможную Ахиллесову пяту облачных вычислений – недосмотр
одного-единственного поставщика может произвести разрушительный эффект на
неопределенное число его клиентов.

И это уже не первый случай, когда бизнес получает предупреждение о том, что
не стоит складывать все яйца в одну корзину. Не далее как в январе сбой в работе
Salesforce.com оставил 900 000 его клиентов без доступа к критически важным
данным.



Оставить мнение