Хакер #305. Многошаговые SQL-инъекции
Специалисты The OWASP Foundation сообщили об утечке данных, после того как резюме некоторых членов организации попали в открытый доступ из-за неправильной настройки старого веб-сервера Wiki.
OWASP (Open Worldwide Application Security Project) — некоммерческая организация, основанная в декабре 2001 года и занимающаяся вопросами безопасности программного обеспечения. В настоящее время OWASP насчитывает десятки тысяч участников и более 250 отделений, которые регулярно организовывают образовательные и обучающие конференции по всему миру.
В OWASP сообщили, что выявили неправильную настройку Media Wiki в конце февраля 2024 года, после нескольких обращений в службу поддержки. Известно, что инцидент затронул только тех членов OWASP, которые присоединились к организации в период с 2006 по 2014 год и предоставили резюме во время процесса вступления.
«В резюме содержались имена, адреса электронной почты, номера телефонов, физические адреса и другая персональная информация, — рассказывает исполнительный директор OWASP Эндрю ван дер Сток (Andrew van der Stock). — OWASP собирала резюме в рамках процесса вступления, когда в период с 2006 по 2014 год от членов требовалось продемонстрировать связь с сообществом OWASP. Теперь OWASP уже не требует резюме от участников».
Организация обещает, что разошлет всем пострадавшим письма, чтобы уведомить их о случившемся. При этом стоит отметить, что многие пострадавшие уже не являются членами OWASP, а раскрытые личные данные во многих случаях устарели.
Также специалисты OWASP приняли ряд мер по устранению утечки, отключив просмотр каталогов и проверив конфигурацию веб-сервера и Media Wiki на предмет других возможных проблем. Кроме того, с wiki-сайта удалили все резюме и очистили кэш Cloudflare, и OWASP связалась с Web Archive, попросив удалить случайно раскрытую информацию и оттуда тоже.
«OWASP уже удалила ваши данные из интернета, поэтому от вас не требуется никаких немедленных действий. Также не нужно ничего предпринимать, если скомпрометированная информация устарела, — добавляет ван дер Сток. — Однако если информация актуальна, например, содержит номер вашего мобильного телефона, пожалуйста, соблюдайте обычные меры предосторожности, отвечая на нежелательные электронные письма, почту или телефонные звонки».