Веб дизайн
Ajax и Javascript
Flash
iPhone
Magento
WordPress
Видео
Разное
Меня зовут Дмитрий Максютин, с 2005 года я создаю сайты и занимаюсь их продвижением и раскруткой.
Хакеры взломали Citibank через простейшую уязвимость в web-интерфейсе
18 июня 2011 Нет комментариев
Стали известны подробности взлома Citibank. Благодаря взлому удалось слить более чем 217 тыс. клиентов Citibank – имена, адреса, телефоны, е-маил, номера кредитных карт, даты истечения карт.
Согласно информации, которую газета NYT получила о взломе Citigroup, взлом стал возможным благодаря эксплуатации простейшей уязвимости “insecure direct object reference”, ранее включенной в список OWASP-10 ведущих рисков для веб-приложений.
После входа в личный кабинет в банкинге, URL текущей страницы содержал никак не зашифрованный идентификационный номер клиента, и всё, что необходимо было сделать, чтобы попасть в чужой личный кабинет – поменять эти символы. То есть URL, после того как пользователь успешно вошел в систему клиент банкинга, введя свой логин и пароль, URL содержал номер счета пользователя с другой информацией. Простейший скрипт заходил на сайт, автоматически собирал всю информацию, сохранял её, менял цифры в адресе и переходил к следующему клиенту. И так 300 тысяч раз.
Представители Citibank сегодня официально подтвердили факт взлома и уточнили, что утечка коснулась 217 657 счетов, а не 360 000, как сообщалось ранее. Впервые о взломе стало известно 8 июня 2011 года, хотя сам инцидент безопасности был обнаружен 10 мая.
Напомним, что это далеко не первый случай взлома IT-систем Citibank. В 2008 году был зафиксирован взлом информационных систем, вследствие которого кардеры сумели обналичить $800 тыс. в банкоматах Нью-Йорка.
Сайт CitySights NY был взломан
26 Дек 2010 Нет комментариев
Метки:
CitySights NY
вебшелл
взлом
Американский туристический оператор CitySights NY, занимающийся экскурсионными автобусными турами по Нью-Йорку, был подвергнут хакерской атаке. В результате чего злоумышленники завладели базой данных клиентов компании, в которой были персональные, финансовые данные – от ФИО, адреса, даты рождения и до номеров кредитных карт, cvv2 и т.д.
В официальном уведомлении о взломе, опубликованном CitySights NY, сообщается, что хакерам удалось провести взлом благодаря SQL-инъекции. Компания узнала о произошедшем благодаря веб-программисту, который обнаружил в одной из папок на сервере вебшелл, загруженный туда извне; по словам представителей компании, с его помощью и была слита база данных.
Хакерам удалось извлечь таблицы с именами клиентов, их электронными и физическими адресами, а также основными данными о кредитных картах – номерами, сроками действия и секретными кодами CVV2. В совокупности этих данных вполне достаточно, для оплаты онлайн-покупок или для продажи данной базы кардерам.
CitySights NY начала оповещать своих клиентов об случившемся еще две недели назад. Всем пострадавшим туроператор обещает бесплатный мониторинг операций по карте в течение одного года, а также 50% скидку на свои услуги.
Последние комментарии