Хакеры украли более 100 000 номеров кредитных карт с сайта туристической компании

Хакеры украли более 100 000 номеров кредитных карт с сайта туристической компании

От действий злоумышленников пострадал американский туристический оператор CitySights NY, специализирующийся на автобусных экскурсиях по Нью-Йорку. В результате атаки была похищена объемная база конфиденциальных данных клиентов компании.



В официальном уведомлении о взломе, опубликованном CitySights NY, сообщается, что хакерам удалось осуществить нападение на ее онлайн-представительство посредством SQL-инъекции. Компания узнала о произошедшем благодаря веб-программисту, который обнаружил в одной из папок на сервере "неавторизованный скрипт", загруженный туда извне; по словам представителей компании, с его помощью и была скомпрометирована база данных.


Веб-сайты довольно часто оказываются уязвимы для атак посредством SQL-инъекций. Если разработчик построил недостаточно защищенные формы для приема и обработки пользовательских запросов (например, при создании средств поиска), то злоумышленник, вводя особым образом составленные строки, может послать через эти формы запрос непосредственно к базе данных сервера - а это прямой путь для утечки информации.


Нечто подобное произошло и в этом случае. Хакерам удалось извлечь таблицы с именами клиентов, их электронными и физическими адресами, а также основными данными о кредитных картах - номерами, сроками действия и секретными кодами CVV2. В совокупности этих сведений вполне достаточно, скажем, для оплаты покупок в Интернет-магазинах.


CitySights NY начала уведомлять своих клиентов об инциденте еще две недели назад. Всем пострадавшим туроператор обещает бесплатный мониторинг операций по карте в течение одного года, а также 50-процентную скидку на свои услуги.


Компания Twin America, которой принадлежит CitySights, заявила, что для предотвращения новых происшествий принимаются все необходимые меры по повышению уровня безопасности данных: в частности, доступ к серверам извне был ликвидирован, а на входе в сеть предприятия появился аппаратный брандмауэр.


PC World

Не светите ключами в соцсетях: по фото можно напечатать рабочий дубликат

Фотография с ключами в руке может оказаться не такой милой, как кажется. Специалист по кибербезопасности Эван Оттингер показал, что по обычному снимку ключа из соцсетей можно сделать рабочую копию, для этого не нужна лаборатория злодея из кино.

Оттингер — типичный ред тимер, по заказу компаний имитирует реальные атаки, проверяет защиту сетей и иногда даже физическую безопасность зданий.

По его словам, люди постоянно выкладывают фото ключей — от обычных пользователей до знаменитостей. А зря.

Если на фотографии хорошо виден профиль и нарезка ключа, их можно проанализировать, восстановить геометрию и изготовить копию. Оттингер использовал открытые инструменты для декодирования ключей, графический редактор и 3D-принтер. В итоге эксперимент сработал: пластиковый ключ, напечатанный по данным со снимка, оказался пригоден для открытия замка.

 

Сам исследователь признаёт, что сначала тоже сомневался: «Да ладно, не может же это реально работать?» Оказалось, что может. Более того, для подготовленного человека весь путь от скачанного фото до готового ключа может занять около 10-15 минут.

Главная проблема в том, что такой способ не похож на взлом в привычном смысле. В отличие от отмычек, использование копии ключа не оставляет очевидных следов на замке. Для прохожих всё выглядит нормально: человек просто открыл дверь своим ключом. Именно такие сценарии, по словам Оттингера, и заставляют специалистов по безопасности нервничать.

Ключи нужно воспринимать как пароли. Их не показывают крупным планом, не выкладывают в сторис и не держат перед камерой ради красивого поста. Если очень хочется поделиться радостью о новом доме, лучше закрыть зубцы ключа рукой, размыть их или вообще сфотографировать брелок.

Оттингер также советует не полагаться только на один замок. Камеры, сигнализация и другие уровни защиты делают дом менее удобной целью.

RSS: Новости на портале Anti-Malware.ru