Кража данных из Citigroup стала результатом простейшей уязвимости

Если информация, которую газета NYT получила о взломе Citigroup, правдива и вторжение стало возможным благодаря эксплуатации распространенной уязвимости, даже включенной в список OWASP-10 ведущих рисков для веб-приложений, возникает вопрос - как это возможно, что крупнейшая в мире финансовая компания не имеет экспертов безопасности для устранения данной уязвимости.

Обсуждаемая уязвимость называется insecure direct object reference. Она возникает, когда конфиденциальная информация открыта для пользователей, поскольку разработчики не последовали здравому смыслу и не скрыли ее.

В случае с Citigroup, URL веб-сайта, который появляется, после того как пользователь успешно вошел в систему сайта для обладателей кредитных карт, введя свой логин и пароль, содержал номер счета пользователя.

Как только злоумышленники осознали это – вероятно один из них имел счет в Citigroup – дело оставалось лишь за написанием скрипта, который будет генерировать случайные числа в URL и при каждом успешном получении доступа к аккаунту злоумышленники получали возможность собирать содержащуюся в нем информацию.

Если это правда, есть еще одна вещь, которая не дает покоя – почему эта "бомбардировка" сайта посредством запросов с поддельными комбинациями чисел не была никем замечена при столь частых ее повторах? Почему там не было механизма, который бы защищал от такого рода действий?

Но возможно, в данном случае, они не могли обнаружить махинации? Может быть скрипт был написан таким образом, что запросы были нерегулярными и возникали в течение большого периода времени? Можно предположить, что злоумышленники должны пытаться заполучить как можно больше информации за кратчайший возможный срок, прежде чем атака будет обнаружена, но никогда не узнаешь, как это происходит на самом деле.

В общем, можем ли мы теперь просто прекратить называть это "сложной атакой"?

22 июня, 2011

Смотрите также

Бразильский футболист Неймар стал приманкой для распространения банковского трояна

21 июня, 2011

Зловреды, крадущие финансовые данные, на Amazon Web Services

20 июня, 2011

Хотели как безопаснее, получилось как всегда

17 июня, 2011

Взлом Citigroup привел к утечке данных клиентов банка

16 июня, 2011

Американским банкам разрешили не возмещать ущерб клиентам, пострадавшим от хакеров

15 июня, 2011

The New York Times: банкоматы Сбербанка услышат мошенников

14 июня, 2011

Во Владимире банкоматовая эпидемия

10 июня, 2011

\"Лаборатория Касперского\": в облачных сервисах Amazon размещаются хакерские программы

9 июня, 2011

Последнее слово подсудимого прозвучало, как речь оскаровского лауреата

8 июня, 2011

Читалка

Вступило в силу Положение Центрального банка Российской Федерации от 17.08.2023 №821-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств...

1 апреля, 2024

Вступил в силу ГОСТ Р 71207-2024 «Защита информации. Разработка безопасного программного обеспечения. Статический анализ программного обеспечения. Общие требования».

1 апреля, 2024

Вступил в силу ГОСТ Р 71206-2024 «Защита информации. Разработка безопасного программного обеспечения. Безопасный компилятор языков С/С++. Общие требования».

1 апреля, 2024

ФСТЭК России опубликованы «Сведения о принятых национальных и международных стандартах за I квартал 2024 года»

28 марта, 2024

ФСТЭК России опубликован проект национального стандарта ГОСТ Р «Защита информации. Формальная модель управления доступом.

28 марта, 2024

ФСТЭК России опубликован проект национального стандарта ГОСТ Р «Защита информации. Формальная модель управления доступом. Часть 3. Рекомендации по разработке»

28 марта, 2024

ФСТЭК России опубликован проект национального стандарта ГОСТ Р «Защита информации. Идентификация и аутентификация. Рекомендации по управлению идентификацией и аутентификацией»

28 марта, 2024

Календарь мероприятий

Новый номер

- BIS Journal №2(53)2024 -

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

19.04.2024
Банкиры просят продлить сроки импортозамещения «инософта»
19.04.2024
Россияне смогут получить ЭП за пределами страны
19.04.2024
В России появится консорциум по кибербезопасности ИИ
19.04.2024
Сразу несколько мессенджеров пропали из китайского App Store
18.04.2024
У нас есть GitHub дома. Вместо нацрепозитория готовое решение от вендора?
18.04.2024
Минэк создаст профильную комиссию по ИИ-расследованиям
18.04.2024
Видеоидентификация клиентов банков уже в этом году?
18.04.2024
Дано: смартфон. Форма: «Аквариус». Суть: «Лаборатория Касперского»
18.04.2024
Члены АБД утвердили отраслевой стандарт защиты данных
17.04.2024
ФСТЭК будет аттестовать не готовое ПО, а процесс его разработки

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

© ООО Медиа Группа Авангард Все права защищены 2007-2024гг.