HDFC Bank является одним из главных банков Индии. Специалисты из zSecure
обнаружили критическую ошибку в базе данных 15 июля 2011 и незамедлительно
доложили о ней банку. При помощи "слепой" SQL-инъекции хакеры могли получить
полный доступ к серверу, создав дамп базы или даже осуществить загрузку шелла. В
своем блоге
zSecure пишут о том, что после того, как они предупредили банк о
потенциальной угрозе, банку понадобилось 22 дня, чтобы дать ответ! В итоге банк
заявил о том, что они устранили ошибку. zSecure провели проверку и обнаружили,
что ничего не было сделано. Они написали еще одно письмо банку, с
дополнительными доказательствами наличия уязвимости, однако, банк снова ответил
только через два дня. Вот что они написали:
"Мы устранили все уязвимости на нашем сайте. Также мы обратились с просьбой
произвести оценку уязвимости к независимой организации, и они подтвердили, что
ошибка устранена".
После получения такого ответа от HDFC, zSecure прислал дополнительную
информацию команде безопасности банка и, в конце концов, HDFC смогли устранить
проблему.
