Дыра в безопасности на сайте крупнейшего австралийского онлайнового биржевого
брокера CommSec поставила под угрозу безопасность аккаунтов, на которых
содержатся миллиарды долларов клиентских денег. Компания уже настойчиво
порекомендовала 1,7 миллиона своих клиентов как можно скорее сменить пароли
доступа к их счетам.
Если бы хакерам удалось воспользоваться обнаруженной уязвимостью и войти в
систему, они могли бы получить доступ к деталям персональных клиентских
аккаунтов и торговать активами из пакетов акций других людей, что в теории могло
бы позволить им манипулировать биржевым курсом в своих интересах. Впрочем, снять
деньги у них все равно не получилось бы.
Слабое место в системе безопасности обнаружил некий Джон, программист из
Мельбурна, который впоследствии заявил, что взламывать клиентские счета смог бы
даже зацикленный на компьютерах подросток с базовыми навыками программирования.
Сам Джон выявил слабое звено в защите аккаунтов CommSec, когда стал клиентом
этой организации.
Он, в частности, сообщил, что пароли к счетам состоят только из цифр, хотя
согласно общепринятой практике более уместным было бы использование
цифробуквенных комбинаций. Свою озабоченность Джон высказал, позвонив в CommSec,
но после двух безуспешных попыток объяснить ситуацию представителям компании его
звонки стали сбрасывать.
Тогда программист связался с местной газетой Herald Sun, которая для
проведения расследования привлекла двух независимых экспертов. В итоге наличие
бреши было подтверждено и CommSec все же заставили улучшить защиту. А газета
благоразумно придержала публикацию своего журналистского расследования до того
момента, когда дыра была устранена. Компания CommSec сообщила о решении проблемы
и пообещала всем потенциальным жертвам возможного взлома бесплатно восстановить
прежнее состояние их счета.