Конфиденциальные данные просочились в веб

Во вторник из-за ошибки разработчика база данных с конфиденциальной информацией о гражданах США, включая номера социального страхования, на несколько часов оказалась доступной для всех пользователей интернета.

База данных, часто используемая правоохранительными органами, кредитными агентствами и частными детективами и содержащая миллионы имен, номеров социального страхования, телефонных номеров, адресов и других важных сведений, стала доступный через простую форму поиска в вебе — это подтвердил провайдер службы базы данных LocatePlus.com.

«Это была чрезвычайно узкая информационная брешь, — сказал директор компании Джон Латорелла. — Это наш самый самый нижний информационный слой — или второй снизу».

LocatePlus отключила возможность свободного доступа к базе данных около 10 утра. По словам Латореллы, к базе данных было сделано всего, может быть, несколько сотен запросов, причем 95% — специалистами по безопасности, обнаружившими брешь.

Компания работала над приложением, которое делает информацию базы данных доступной для беспроводных устройств, и, чтобы протестировать это приложение, разработчик открыл доступ для ограниченной группы интернет-адресов. Однако внесенное им изменение привело к тому, что база данных стала общедоступной.

Латорелла говорит, что LocatePlus расследует инцидент. Он заверил, что система защиты службы базы данных компании не нарушена. Более того, она постоянно регистрирует интернет-адреса пользователей, так что компания будет знать, кто обращался за данными.

Это происшествие подчеркивает опасность размещения подобной информации в интернете: даже мельчайший просчет может привести к утечке данных. «Это настораживает, если не сказать больше, — говорит старший директор по техническим вопросам Symantec Альфред Хьюгер. — Неконтролируемый доступ к сведениям подобного уровня делает кражу персональной информации тривиальной».

Ошибку обнаружил аналитик по безопасности Symantec, когда кто-то опубликовал адрес базы данных в чат-системе IRC. Symantec поставила в известность ФБР и CNET News.com. Вскоре после этого об инциденте проинформировали и LocatePlus.

«Мы бы все равно обнаружили это в течение суток, но очень благодарны за помощь», — сказал Латорелла.

Предыдущие публикации:

2003-10-15

«Яндекс»: все ли найдется?

В продолжение темы:

2004-05-17

Cisco расследует утечку исходного кода

Обсуждение и комментарии

	aion 10 Dec 2003 3:21 PM
«Мы бы все равно обнаружили это в течение суток, но очень благодарны за помощь», — сказал Латорелла. -- в течение суток можно было бы все это дело "слить" к себе на комп... :-))

	torvic 10 Dec 2003 5:56 PM
>разработчик открыл доступ для ограниченной группы интернет-адресов. Однако внесенное им изменение привело к тому, что база данных стала общедоступной. Опять вместо "==" "=" получилось?

	Cheetah 10 Dec 2003 6:45 PM
Да ну, ерундистика. Сейчас из любой мелочи, касающейся вопросов безопасности, можно сделать сенсацию... Надеюсь, программиста не вздернули на фок-рее :-)

	Cheetah 10 Dec 2003 6:49 PM
Жаль, меня не предупредили заранее, я бы с удовольствием заглянул на тот сайтик :)

	Black Bat 13 Dec 2003 7:11 PM
to Cheetah: а что ты там хотел интересного увидеть?

← ноябрь 2003

4 5 8 9 10 11 12 14 15

январь 2004 →