В системе Buy.com обнаружена "дыра", но кредитных карт хакеры там не найдут

•	Главная
•	Архив новостей
•	Безопасность в Unix
•	Безопасность в Windows
•	Сборник FAQ'ов
•	Телефония, фрикинг
•	Кредитные карты
•	Криптография
•	Истории о хакерах
•	Программы, утилиты

_el@sp.sz.ru

В системе Buy.com обнаружена "дыра", но кредитных карт хакеры там не найдут

Как сообщил в четверг новостной сайт Wired News, в компьютерой системе одного из крупнейших интернет-магазинов Buy.com была обнаружена гдыраё, через которую мог осуществляться несанкционированный доступ к персональной информации (именам, адресам и телефонам) пользователей, возвращающих товары в магазин.

По данным Wired News, проблема затронула как минимум несколько сотен покупателей магазина. Принцип использования "дыры" основывается на том, что сервер компании, которым управляет операционная система Microsoft NT, позволяет покупателям, желающим вернуть товары на склад, получить уникальный url, включающий так называемый гномер покупателяё. Открыв страницу, находящуюся по этому адресу, пользователь может распечатать ярлык, который содержит адрес компании и обратный адрес и контактный телефон пользователя, наклеить ярлык на конверт или посылку и отослать по почте.

Но, если пользователь решит поменять гномер покупателяё в адресе страницы, он сможет посмотреть ярлык возврата, которым пользовался другой покупатель, и, следовательно, получить телефон и адрес постороннего человека. Таким же образом могут действовать не только любопытные пользователи, но и представители компаний, охотящихся за персональными данными. Единственным препятствием для злоумышленников является то обстоятельство, что каждый ярлык сохраняется в отдельном файле, поэтому при желании узнать чужие адреса и телефоны взломщики должны будут копировать всю директорию. А чем дольше они останутся на связи с сервером, тем легче их будет отследить.

Стандартный ярлык также не содержит адреса электронной почты пользователя или номера его кредитной карточки.

Сведения о гдыреё предоставил Бен Эдельман, студент Беркмановского центра по развитию Интернета и общества при юридическом факультете Гарвардского университета. Он сообщил журналистам, что такая гдыраё настолько легко устраняется, что факт ее появления просто неприличен. От руководства фирмы, которое он поставил в известность о проблеме у них на сайте, пока не пришло никакого ответа.

Источник: Netoscope.ru