Наличие программных ошибок на сайте, предназначенном для организации
совместных поездок из пригородов на работу, привело к тому, что важная
информация, касающаяся сотен служащих из Южной Калифорнии, стала общедоступной.
Среди пострадавших – персонал по крайней мере одного военного объекта.
Баги на RideMatch.info
позволяют хакерам получить доступ к самым разным сведениям, включая имена,
домашние адреса, номера телефонов, сведения о времени поездок на работу и с
работы, а также индивидуальных номерах служащих. SQL-инъекция срабатывает до сих
пор, спустя более двух недель с момента уведомления разработчика ресурса о
наличии дыры.
Брешь обнаружил исследователь в области безопасности Кристиан Хермансен,
которого работодатель заставил заполнить подробную анкету для сайта, поскольку в
противном случае на компанию мог быть наложен государственный штраф.
Данный ресурс является совместным проектом транспортных властей пяти
региональных правительств в Южной Калифорнии. Люди заносят туда свои рабочие и
домашние адреса а также время, затрачиваемое на поездки туда-обратно, после чего
сайт предоставляет им информацию о находящихся поблизости людях, работающих и
живущих там же, что позволяет организовывать совместное использование
автотранспорта для поездок на рабочее место и домой с работы. На самом же деле
из-за наличия бага практически любая информация с сайта доступна всем, кто
знает, как воспользоваться уязвимостью.
Представитель одного из транспортных агентств, ответственных за
функционирование сайта, сообщил, что администрацией ресурса уже проводятся
работы по устранению утечки.
