Университет отправил письма с личными данными студентов по неверным адресам

Александр Панасенко 31 Января 2011 - 15:50

...

Личные данные сотен участников программы по страхованию здоровья Университета Миссури оказались скомпрометированы после того, как организация отправила письма по неверному адресу. В письмах были указаны такие конфиденциальные сведения, как информация о состоянии здоровья, новые ID-карты, тексты обращений от представителей страховой фирмы и некоторые другие материалы. Письма были отправлены по неверным адресам в период с 6-го по 10-ое января текущего года.

Также скомпрометированы оказались полные имена клиентов страховой программы Университета Миссури, их личные номера в рамах этой программы и даты рождения, сообщает CNews,. По словам представителей университета, номера социального страхования людей в рассылку не добавляли.

Университет Миссури заявил, что виновником утечки является фирма Coventry Health Care, которая занималась администрированием страховых программ учебного заведения. Сотрудники Coventry Health Care, в свою очередь, объяснили, что утечка произошла из-за сбоя в компьютерной системе, в результате которой были перепутаны адреса получателей почты.

Аналитики отмечают, что из-за этой утечки пострадавшие оказались под угрозой кражи их медицинской личности – в этом случае злоумышленник может использовать чужую страховую карту для получения по ней медицинских услуг.

Пострадавших уже известили об утечке, посоветовав более внимательно следить за пользованием услугами по своей медицинской страховке.

«По статистике почта остается одним из самых опасных каналов утечек. Это объясняется не только повсеместным использованием почты для передачи персональных данных и прочей конфиденциальной информации, но и отсутствия какой-либо защиты от непреднамеренных ошибок. Кроме этого, почта фактически никак не ограничена в объемах пересылаемой через нее информации, и даже одна небольшая ошибка оператора может привести к утечке данных о миллионах клиентов, партнеров или сотрудников», - заявил Александр Ковалев, директор по маркетингу SecurIT, разработчика решений для защиты от утечек информации.

Следующая главная новость »

Российские альтернативы Microsoft CA: чем заменить и не проиграть?
Регистрируйтесь на эфир!

Екатерина Быстрова 30 Марта 2026 - 16:10

Уязвимости сайтов Домашние пользователи Малый и средний бизнес

В Smart Slider 3 для WordPress нашли опасную брешь с риском захвата сайта

В плагине Smart Slider 3 для WordPress, который используется более чем на 800 тысячах сайтов, обнаружили неприятную уязвимость. Проблема позволяет аутентифицированному пользователю с минимальными правами — например, обычному подписчику — получить доступ к произвольным файлам на сервере.

Речь идёт об уязвимости CVE-2026-3098, которая затрагивает все версии Smart Slider 3 до 3.5.1.33 включительно. Исследователь Дмитрий Игнатьев сообщил о проблеме, после чего её подтвердили специалисты компании Defiant.

На первый взгляд уязвимость выглядит не самой страшной: для её эксплуатации нужна аутентификация. Поэтому ей присвоили средний уровень опасности. Но на практике всё не так безобидно. Если сайт поддерживает регистрацию, подписки или личные кабинеты, то даже пользователь с базовым доступом потенциально может добраться до конфиденциальных данных.

Главная опасность в том, что через эту брешь можно читать произвольные файлы сервера и добавлять их в экспортный архив. Под ударом оказывается, например, файл wp-config.php — один из самых важных для WordPress. В нём хранятся учётные данные базы данных, криптографические ключи, а это уже вполне может открыть дорогу к краже данных и даже к полному захвату сайта.

В AJAX-действиях экспорта у плагина не хватало проверок прав доступа. Иными словами, функция, которая должна была быть доступна далеко не всем, в уязвимых версиях могла вызываться любым пользователем. Дополнительной защиты nonce здесь оказалось недостаточно, потому что получить его может и обычный вошедший в систему юзер.

Патч вышел 24 марта вместе с версией Smart Slider 3 3.5.1.34. Но есть нюанс: несмотря на выход обновления, проблема всё ещё остаётся массовой. По статистике WordPress.org, за последнюю неделю плагин скачали более 303 тысяч раз, однако исследователи полагают, что как минимум 500 тысяч сайтов до сих пор работают на уязвимых версиях.

На момент публикации данных об активной эксплуатации этой уязвимости ещё не было. Но в таких случаях окно спокойствия обычно бывает недолгим: как только информация о баге становится публичной, злоумышленники начинают быстро проверять, какие сайты не успели обновиться.

Так что владельцам сайтов на WordPress, использующим Smart Slider 3, тянуть тут явно не стоит. Если плагин ещё не обновлён до версии 3.5.1.34, лучше сделать это как можно быстрее.

Российские альтернативы Microsoft CA: чем заменить и не проиграть?
Регистрируйтесь на эфир!