HDFC Bank является одним из главных банков Индии. Специалисты из zSecure обнаружили критическую ошибку в базе данных 15 июля 2011 и незамедлительно доложили о ней банку. При помощи SQL-инъекции хакеры могли получить полный доступ к серверу, создав дамп базы или даже осуществить загрузку шелла.
В своем блоге zSecure пишут о том, что после того, как они предупредили банк о потенциальной угрозе, банку понадобилось 22 дня, чтобы дать ответ! В итоге банк заявил о том, что они устранили ошибку. zSecure провели проверку и обнаружили, что ничего не было сделано. Они написали еще одно письмо банку, с дополнительными доказательствами наличия уязвимости, однако, банк снова ответил только через два дня. Вот что они написали:
"Мы устранили все уязвимости на нашем сайте. Также мы обратились с просьбой произвести оценку уязвимости к независимой организации, и они подтвердили, что ошибка устранена".
После получения такого ответа от HDFC, zSecure прислал дополнительную информацию команде безопасности банка и, в конце концов, HDFC смогли устранить проблему.
- Стоимость медиауслуг (открыть PDF) -
