Хакер #305. Многошаговые SQL-инъекции
Интересный доклад опубликовало Управление генерального инспектора при Министерстве внутренней безопасности США. В документе представлены результаты аудита работы Федерального агентства по управлению в чрезвычайных ситуациях (The Federal Emergency Management Agency, FEMA). Аудит выявил утечку личных данных 2,3 млн человек.
Как оказалось, представители FEMA случайно раскрыли третьим лицам личную информацию граждан, пострадавших от ураганов Харви, Ирма и Мария, а также о жертвах лесных пожаров в Калифорнии в 2017 году. Личная информация этих людей была передана неназванному подрядчику FEMA, предоставлявшему услуги по программе Transitional Sheltering Assistance (TSA) – временного жилья для жертв природных катастроф.
В распоряжении подрядчика оказались данные людей, подавших заявки на участие в TSA. И если «по протоколу» FEMA должно было предоставить подрядчику лишь 13 пунктов данных о каждом заявителе, на деле были раскрыты еще 20 дополнительных полей. В итоге третьим лицам стали известны адреса и индексы пострадавших, а также их финансовая информация. Точные даты, когда произошла утечка, не называются, но можно предположить, что инцидент имел место в период с конца 2017 года до середины 2018 года, когда проводился упомянутый аудит.
Представители FEMA уже заверили, что более не делятся «лишней» информацией со своими подрядчиками. Также в FEMA сообщили, что уже начато расследование инцидента. В числе прочего, к компании-подрядчику были направлены ИБ-эксперты, которые должны будут установить на месте, не «утекли» ли личные данные людей дальше, через какие-либо уязвимости в системах компании.