Хакер #305. Многошаговые SQL-инъекции
Йельский университет уведомил примерно 43 000 человек, в числе которых
преподавательский состав, персонал, студенты и выпускники, о том, что их имена и
номера социального страхования примерно в течение 10 месяцев находились в
открытом доступе.
По заявлению университета, сделанному на прошлой неделе, все пострадавшие
были связаны с Йельским университетом в 1999 году, им была предложена гарантия
защиты личных данных и бесплатная служба кредитного мониторинга на два года.
По сообщению Yale Daily News, брешь обнаружилась после того, как FTP-сервер,
на котором хранились данные, стало возможно найти при помощи Google. Это стало
результатом изменения в поисковой системе, сделанного Google в прошлом сентябре.
Директор ИТ-служб Йельского университета Лен Питерс заявил, что FTP-сервер,
на котором хранятся оказавшиеся под угрозой данные, был в основном использован
для хранения открытых материалов.
В сентябре 2010 года Google внес в поисковую систему изменение, которое
позволяет индексировать и осуществлять поиск по FTP-серверам. По сообщению
Питерса, ИТ-сотрудники университета не были осведомлены о внесенном изменении.
По словам Питерса, когда Йельский университет обнаружил брешь в июне, сервер
немедленно был переведен в оффлайн, конфиденциальные данные стерты и произведена
оценка того, имеются ли на FTP-серверах другие файлы, содержащие сходные данные.
В своём заявлении, сделанном для Computerworld, руководство Йельского
университета не упомянуло о том, каким образом данные оказались под угрозой. Но
было заявлено, что файл теперь "защищён", а компания Google подтвердила, что в
поисковой системе больше не хранится информация из данного файла.
В заявлении не указывается, как сотрудники университета обнаружили брешь,
также не было сказано о том, успел ли кто-либо получить доступ к этой информации
с помощью Google. В публикации Питерс заявил, что файл и директория, в которой
хранились незащищенные данные, имели безопасные имена, поэтому маловероятно, что
они могли дать какое-либо представление о содержащихся в них данных.