Обсуждаемая уязвимость называется insecure direct object reference. Она возникает, когда конфиденциальная информация открыта для пользователей, поскольку разработчики не последовали здравому смыслу и не скрыли ее.
В случае с Citigroup, URL веб-сайта, который появляется, после того как пользователь успешно вошел в систему сайта для обладателей кредитных карт, введя свой логин и пароль, содержал номер счета пользователя.
Как только злоумышленники осознали это – вероятно один из них имел счет в Citigroup – дело оставалось лишь за написанием скрипта, который будет генерировать случайные числа в URL и при каждом успешном получении доступа к аккаунту злоумышленники получали возможность собирать содержащуюся в нем информацию.
Если это правда, есть еще одна вещь, которая не дает покоя – почему эта "бомбардировка" сайта посредством запросов с поддельными комбинациями чисел не была никем замечена при столь частых ее повторах? Почему там не было механизма, который бы защищал от такого рода действий?
Но возможно, в данном случае, они не могли обнаружить махинации? Может быть скрипт был написан таким образом, что запросы были нерегулярными и возникали в течение большого периода времени? Можно предположить, что злоумышленники должны пытаться заполучить как можно больше информации за кратчайший возможный срок, прежде чем атака будет обнаружена, но никогда не узнаешь, как это происходит на самом деле.
В общем, можем ли мы теперь просто прекратить называть это "сложной атакой"?
