Честный хакер предупредил системных администраторов Nasdaq о "дыре" в их сайте

Ленка Виноградова

По информации, предоставленной новостным агентством, голландский хакер Джерри Мансур выявил уязвимости на сайте биржи Nasdaq и нескольких связанных с ним ресурсах. Хакер утверждает, что мог бы осуществить взлом и перехватить управление.

Тем не менее, сознательный хакер не только избегал взлома, но и предупредил администраторов Nasdaq.com, CBS.MarketWatch.com, BigCharts.com и FTMarketWatch.com о найденных уязвимостях. Как сообщают СМИ, он раскрыл свои замечания лишь после устранения проблемы.

Джерри Мансур, один из ведущих участников голландской хакерской группы Hit2000, получил доступ к файлу global.asa, который контролировал доступ пользователей к приложениям на сервере, определял, какие приложения могут запускаться, а также, по словам Мансура, содержал пароли к базе данных. Все сайты использовали IIS (Internet Information Server), разработанный Microsoft.

Марко ван Беркум, эксперт по информационной безопасности из голландской компании Obit, заявил, что описанная Мансуром уязвимость давно известна системным администраторам под названием Source Fragment Disclosure Vulnerability. Технические детали данной проблемы были опубликованы еще в июле в рассылке BugTraq.

Тем не менее, Мансур утверждает, что обнаружил не просто известную уязвимость, а применил свои собственные разработки, детали которых он пока не раскрывает. По его мнению, передача такого мощного инструмента в руки пользователей, способного предоставить полный доступ к ресурсам сервера и запретить доступ администратору, слишком рискованна.

Исходя из этих соображений, Мансур уведомил веб-мастеров о проблеме по электронной почте. Дэн Шиндлер, директор технической службы CBSMarketWatch.com, в ответном письме выразил благодарность хакеру и отметил, что все администраторы восхищены его честностью и порядочностью.

Ранее Джерри Мансур неоднократно информировал в рассылке BugTraq о уязвимостях в программном обеспечении.