- PVSM.RU - https://www.pvsm.ru -
Шестнадцатилетнему австралийскому школьнику Джошуа Роджерсу около месяца назад пришла в голову мысль проверить сайт управления городским транспортом Мельбурна Public Transport Victoria (PTV) ptv.vic.gov.au [1] на прочность. Не вполне ясно, что именно использовал молодой человек в качестве инструмента для своих действий (есть мнение, что это просто был сканер уязвимостей, скачанный и сети, и натравленный на определённый URL), но за это ему и его родителям пришлось серьёзно поволноваться.
База данных сайта действительно содержала критичную информацию: полные имена пользователей, их почтовые адреса, адреса электронной почты и 9 цифр номеров кредитных карт, принадлежащих закрытому недавно магазину на сайте, транспортные проекты города — всего около 600 000 записей. Вероятно, что запросы к базе никак не фильтровались, что и дало возможность Джошуа самому первым написать руководству сайта о выявленных SQL-инъекциях с предупреждением о потенциальных проблемах.
Как водится, сначала на письмо парня никто не обратил внимания или даже не понял о чём оно. Джошуа обратился в местное СМИ и только после этого (открытой публикации всё ещё не было) руководство PTV взбодрилось, но не нашло ничего лучшего, чем обратиться в полицию с заявлением на несанкционированный доступ к их сети. Интересно, что инцидент с Джошуа произошёл через считанные недели после того, что аудит компьютерной безопасности предупредил, что государственные сайты из рук вон плохо готовы к атакам хакеров — всего в них насчитали более сотни дыр.
Местный специалист по кибер-атакам Фил Керник выразился примерно так: да, очевидно, что Роджерс совершил преступление, получив нелегальный доступ к базе, но не меньше виноват и сам сайт, который не был способен защитить свои данные. В итоге, поскольку Джошуа всё-таки не стал оглашать информацию публично, то, вероятно, для него всё закончится сравнительно неплохо, но, — главное — власти официально признали, что "… если этот пацан смог найти [уязвимость], то, наверно, он не был первым".
[Источник [2]]
Автор: jeston
Источник [3]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/uyazvimost/52448
Ссылки в тексте:
[1] ptv.vic.gov.au: http://ptv.vic.gov.au
[2] Источник: http://www.theage.com.au/it-pro/security-it/hacked-site-reports-boy-to-police-20140108-hv7tl.html
[3] Источник: http://habrahabr.ru/post/208604/
Нажмите здесь для печати.