Шестнадцатилетнему австралийскому школьнику Джошуа Роджерсу около месяца назад пришла в голову мысль проверить сайт управления городским транспортом Мельбурна Public Transport Victoria (PTV) ptv.vic.gov.au на прочность. Не вполне ясно, что именно использовал молодой человек в качестве инструмента для своих действий (есть мнение, что это просто был сканер уязвимостей, скачанный из сети, и натравленный на определённый URL), но за это ему и его родителям пришлось серьёзно поволноваться.
База данных сайта действительно содержала критичную информацию: полные имена пользователей, их почтовые адреса, адреса электронной почты и 9 цифр номеров кредитных карт, принадлежащих закрытому недавно магазину на сайте, транспортные проекты города — всего около 600 000 записей. Вероятно, что запросы к базе никак не фильтровались, что и дало возможность Джошуа самому первым написать руководству сайта о выявленных SQL-инъекциях с предупреждением о потенциальных проблемах.
Как водится, сначала на письмо парня никто не обратил внимания или даже не понял о чём оно. Джошуа обратился в местное СМИ и только после этого (открытой публикации всё ещё не было) руководство PTV взбодрилось, но не нашло ничего лучшего, чем обратиться в полицию с заявлением на несанкционированный доступ к их сети. Интересно, что инцидент с Джошуа произошёл через считанные недели после того, что аудит компьютерной безопасности предупредил, что государственные сайты из рук вон плохо готовы к атакам хакеров — всего в них насчитали более сотни дыр.
Местный специалист по кибер-атакам Фил Керник выразился примерно так: да, очевидно, что Роджерс совершил преступление, получив нелегальный доступ к базе, но не меньше виноват и сам сайт, который не был способен защитить свои данные. В итоге, поскольку Джошуа всё-таки не стал оглашать информацию публично, то, вероятно, для него всё закончится сравнительно неплохо, но, — главное — власти официально признали, что "… если этот пацан смог найти [уязвимость], то, наверно, он не был первым".
[Источник]
База данных сайта действительно содержала критичную информацию: полные имена пользователей, их почтовые адреса, адреса электронной почты и 9 цифр номеров кредитных карт, принадлежащих закрытому недавно магазину на сайте, транспортные проекты города — всего около 600 000 записей. Вероятно, что запросы к базе никак не фильтровались, что и дало возможность Джошуа самому первым написать руководству сайта о выявленных SQL-инъекциях с предупреждением о потенциальных проблемах.
Как водится, сначала на письмо парня никто не обратил внимания или даже не понял о чём оно. Джошуа обратился в местное СМИ и только после этого (открытой публикации всё ещё не было) руководство PTV взбодрилось, но не нашло ничего лучшего, чем обратиться в полицию с заявлением на несанкционированный доступ к их сети. Интересно, что инцидент с Джошуа произошёл через считанные недели после того, что аудит компьютерной безопасности предупредил, что государственные сайты из рук вон плохо готовы к атакам хакеров — всего в них насчитали более сотни дыр.
Местный специалист по кибер-атакам Фил Керник выразился примерно так: да, очевидно, что Роджерс совершил преступление, получив нелегальный доступ к базе, но не меньше виноват и сам сайт, который не был способен защитить свои данные. В итоге, поскольку Джошуа всё-таки не стал оглашать информацию публично, то, вероятно, для него всё закончится сравнительно неплохо, но, — главное — власти официально признали, что "… если этот пацан смог найти [уязвимость], то, наверно, он не был первым".
[Источник]
