Ленка Виноградова

Как сообщил в четверг новостной сайт Wired News, в компьютерой системе одного из крупнейших интернет-магазинов Buy.com была обнаружена «дыра», через которую мог осуществляться несанкционированный доступ к персональной информации (именам, адресам и телефонам) пользователей, возвращающих товары в магазин.

По данным Wired News, проблема затронула как минимум несколько сотен покупателей магазина. Принцип использования “дыры” основывается на том, что сервер компании, которым управляет операционная система Microsoft NT, позволяет покупателям, желающим вернуть товары на склад, получить уникальный url, включающий так называемый «номер покупателя». Открыв страницу, находящуюся по этому адресу, пользователь может распечатать ярлык, который содержит адрес компании и обратный адрес и контактный телефон пользователя, наклеить ярлык на конверт или посылку и отослать по почте.

Но, если пользователь решит поменять «номер покупателя» в адресе страницы, он сможет посмотреть ярлык возврата, которым пользовался другой покупатель, и, следовательно, получить телефон и адрес постороннего человека. Таким же образом могут действовать не только любопытные пользователи, но и представители компаний, охотящихся за персональными данными. Единственным препятствием для злоумышленников является то обстоятельство, что каждый ярлык сохраняется в отдельном файле, поэтому при желании узнать чужие адреса и телефоны взломщики должны будут копировать всю директорию. А чем дольше они останутся на связи с сервером, тем легче их будет отследить.

Стандартный ярлык также не содержит адреса электронной почты пользователя или номера его кредитной карточки.

Сведения о «дыре» предоставил Бен Эдельман, студент Беркмановского центра по развитию Интернета и общества при юридическом факультете Гарвардского университета. Он сообщил журналистам, что такая «дыра» настолько легко устраняется, что факт ее появления просто неприличен. От руководства фирмы, которое он поставил в известность о проблеме у них на сайте, пока не пришло никакого ответа.

ССЫЛКИ ПО ТЕМЕ

Buy.com

Security Breach at Buy.com – Wired News, 12.10.00

МАТЕРИАЛЫ ПО ТЕМЕ

Честный хакер предупредил системных администраторов Nasdaq о “дыре” в их сайте – 05.10.00


“Дыры” в Internet Explorer уже никого не удивляют – 27.09.00


Хакер взломал банк за пять минут и весьма расстроен результатом – 26.09.00


Пользователи согласны делиться конфиденциальными данными – 14.09.00


В интернет-магазинах появятся одноразовые кредитки – 08.09.00


Amazon.com раздает частную информацию своих клиентов – 04.09.00


Найдена “дыра” в самой популярной криптографической программе PGP – 25.08.00