360 тыс. клиентов "Ситибанка" взломаны перебором URL

≡ Безопасность | Новости | 16.06.2011 13:44

Личные данные более чем 360 тыс. клиентов "Ситибанка" - имена, адреса и номера кредитных карт - попали в руки хакеров, говорится в пресс-релизе банка.

Как сообщает New York Times, злоумышленники воспользовались банальной подстановкой символов в адресной строке браузера.

После входа в личный кабинет URL текущей страницы содержал никак не зашифрованный идентификационный номер клиента, и всё, что необходимо было сделать, чтобы попасть в чужой личный кабинет - поменять эти символы. Одно нажатие клавиши превращало аккаунт Иванов32167 в аккаунт Иванов12345 - ни подтверждений, ни проверок, полный доступ!

Простейший скрипт заходил на сайт, автоматически собирал всю информацию, сохранял её, менял цифры в адресе и переходил к следующему клиенту. Тысячи раз. Более двухсот тысяч.

Думаю, каждый, кто хотя бы год пользуется Интернетом, осознаёт всю бредовость ситуации - даже бесплатные онлайн-игры защищены существенно лучше. Серьезный международный банк, который смог бы, при желании, взломать школьник? Отчего-то кажется, что в ближайшее время Сitibank откроет ряд интересных вакансий, да и необходимость по четыре раза вводить проверочные коды, чтобы положить с карточки сто рублей на телефон, возможно, не будет вызывает у клиентов такой ярости, как прежде.

комментарии(4) |

разделы: Новости | Безопасность

Материалы по теме

Хакеры утянули кредитки покупателей косметики
Новый Zeus атакует русские банки и "Яндекс.Деньги"
Хакеры крадут деньги с PayPal через iTunes