Поиск
Показаны результаты для тегов 'персональным'.
Найдено: 2 результата
-
29 января на ресурсе «Хабрахабр» пользователь под ником NoraQ рассказал об уязвимости реестра выпускников Федеральной службы по надзору в сфере образования и науки. Уязвимость, по словам NoraQ, позволила ему получить персональные данные 14 млн выпускников российских вузов. На сайте Рособрнадзора есть раздел, где пользователи могут проверить подлинность выданного диплома о высшем образовании. Из-за нехитрой структуры сайта NoraQ смог получить доступ к нему: «Голый SQL Injection. Очевидно, что задачи продумать обработку ошибок перед разработчиком не было. Задача была сделать сервис, который работает. Сервис, который является гарантом». В созданной ветке «Хабрахабра» автор подробно описал шаги, которые позволили получить ему доступ к данным. После этого NoraQ написал небольшую программу на Python и при её помощи смог скачать всю интересующую информацию. В одной из скачанных таблиц имелись следующие персональные данные выпускников: серия и номер документа о высшем образовании, наименование учебной организации, года поступления и окончания, СНИЛС и ИНН, дата рождения и национальность выпускника. Также таблица содержала столбец, названный «Серия и номер паспорта», но, по словам NoraQ, эти графы не были заполнены. Скачанная им база данных весила 5 Гбайт. По словам NoraQ, никто не обратил внимания на подозрительную активность: «А теперь представьте, сколько времени это качалось. Вы думаете, кто-то заметил? Может быть, сервис резко отключился, IP заблокировали или ещё что-то? Нет!» По словам NoraQ, им двигал всего лишь спортивный интерес, он не преследует цели получить какие-то деньги с находки. Также он не сообщал Рособрнадзору о найденной уязвимости, а сразу опубликовал пост на «Хабре» с нового аккаунта. К утру 30 января NoraQ заявил, что уязвимость реестра была исправлена: «Буквально через час после опубликования статьи доступ к сайтe ограничили, а через несколько часов сайт снова восстановил работу, но уже без обнаруженной уязвимости». Также автор признался, что базу он не скачивал, а на протяжении трёх дней лишь эмулировал скачивание, надеясь, что необычный трафик привлечёт внимание.
-
- исправлена
- уязвимость
- (и ещё 7 )
-
Специалист по информационной безопасности из Израиля Омер Гиль выявил новый метод, позволяющий получить доступ к скрытым персональным данным пользователей. Дело в том, что кэширующие серверы, используемые крупными online-сервисами, часто сохраняют некорректный контент страницы, в том числе персональную информацию, когда пользователь пытается посетить несуществующий ресурс. Как выяснил Гиль, данная проблема, получившая название Web Cache deception attack (примерно переводится как «обманная атака на web-кэш»), затрагивает web-сайты трех крупных компаний, одна из которых PayPal. По словам исследователя, проблема, скорее всего, распространяется и на другие online-сервисы, хотя соответствующее исследование он не проводил. Атака основана на том, как серверы кэшируют страницы. Некоторые из них сохраняют страницы с разным объемом персональных данных. Как правило, эти страницы недоступны неавторизованным пользователям. Специалист пояснил принцип действия метода на примере PayPal. Если пользователь перейдет по ссылке на несуществующий ресурс, сервер PayPal создаст соответствующий кэш URL. Например, при переходе по ссылке https://www.paypal.com/myaccount/home/attack.css будет создан кэш https://www.paypal.com/myaccount/home/. В данном примере кэшированная страница будет содержать такие сведения, как баланс счета, данные транзакций, адрес электронной почты, последние четыре цифры дебетовой\кредитной карты и, возможно, другую информацию. Для того чтобы похитить данные, атакующему потребуется только перейти по тому же специально сформированному URL и получить доступ к кэшированной странице. По словам Гиля, атака не ограничена только определенными типами файлов, такими как JS или CSS. Злоумышленники могут использовать более 40 форматов - от популярных AVI, DOC и JPEG до CCT или AIFF.