Как сообщил на блоге румынский хакер Unu, уязвимости в системе защиты
веб-сайта RBS WorldPay до момента их блокировки позволяли атакующему получить
конфиденциальные сведения, включая пароли администраторов и контактную
информацию о партнерах. Как и ранее, для подтверждения своих слов хакер
опубликовал скриншоты с результатами атаки.
Сначала в RBS WorldPay сообщили, что Unu провел SQL-атаку на тестовые
веб-сайты, все данные на которых были фиктивными, а потому уязвимости как
таковой якобы не было. Однако хакер не согласился с этим и опубликовал новую
порцию скриншотов, иллюстрирующих наличие проблем с устойчивостью к
SQL-инъекциям на немецкой версии сайта RBS WorldPay.
Кроме того, он сообщил, что в RBS WorldPay заблокировали публичный доступ к
тем частям сайта, уязвимости в которых были показаны на первых скриншотах,
добавив при этом, что эксплуатация дыр в других разделах веб-ресурса по-прежнему
возможна.
В итоге, в пятницу вечером служба RBS WorldPay выпустила заявление, в котором
сообщила о проведении тщательного аудита информации о наличии технической
уязвимости на своем сайте, в результате которого получение неавторизованного
доступа к аккаунтам бизнес-пользователей и держателей карт было признано
невозможным.
Добавим лишь, что банковская группа The Royal Bank of Scotland Group
ежедневно обрабатывает миллионы платежей. Представитель RBS WorldPay сообщила,
что в компании со всей серьезностью относятся к вопросам безопасности, что
косвенно подтверждается желанием отвечать на вопросы прессы.
