• Дыра в защите магазина продолжала существовать спустя целый год после появления заплатки.

  Владельцы кредитных карт никогда не находятся в полной безопасности совершая покупки в интернете. Еще одним подтверждением этому стала история с очередным магазином, небрежно хранящим информацию о кредитных картах своих клиентов. На сей раз речь идет о магазине спортивной одежды Waxboxes.com. В его программном обеспечении в течение целого года существовала дыра, позволяющая получать персональную информацию о клиентах, включая их имена и номера кредитных карт. Для организации работы магазина использовалась программа PDG Shopping Cart.

  Около года назад специальный отдел ФБР по борьбе с киберпреступностью опубликовал данные очередного исследования, в котором содержалась информация, имеющая отношение к программному продукту PDG. Было выявлено, что непредвиденным результатом работы программы является генерация интернет-странички с информацией о сделке, включая и полные данные о покупателе. Причем эта страничка оставалась висеть в интернете, доступная для загрузки. PDG Software довольно быстро отреагировала на это известие, разослав всем своим клиентам соответствующую "заплатку" и подробные инструкции по ее установке.

  Не так давно Dan Clements, готовивший новости для сайта CardCops.Com, обнаружил, что одна из таких дыр до сих пор не ликвидирована на сайте упомянутого магазина Waxboxes.com, спустя год после опубликования информации о ее существовании.

  Попытки связаться с администрацией магазина ни к чему не привели – на письма и на телефонные звонки никто не отвечал, хотя сайт магазина вроде бы продолжал работать. Хуже всего было то, что странички с информацией о клиентах продолжали висеть в интернете. Отчаявшись связаться с администрацией магазина, он обратился к провайдеру – фирме Interland Inc., осуществлявшей вэб-хостинг магазина. Только после звонка были приняты меры, и утечка информации прекратилась.

  Провайдер сообщил, что он продал своему клиенту программу PDG для его магазина, справедливо полагая, что ответственность за установление "заплаток" лежит на самом магазине. Почему информация об обновлениях не дошла до Waxboxes.com сказать сейчас трудно.    Barbara Gibson - менеджер Interland подтвердила, что сразу же после того, как стало известно о наличии дыры в программе, PDG рассылал серию из шести уведомлений о необходимости установить "заплатку". Кроме того, они связывались со своими клиентами по телефону.

  Уже после того, как инцидент с Waxboxes был исчерпан,  Dan Clements сумел разыскать еще один магазин, расположенный на сайте  Derbytec.com. Этот магазин также использовал старую версию PDG Shopping Cart. После того как Clements связался с администрацией магазина, были в срочном порядке приняты соответствующие меры - сделан апгрейд до новой версии, не содержащей ошибки.

  David Snyder - президент PDG Software, утверждает, что сотрудники компании предпринимали многочисленные попытки связаться с магазином. «Я не знаю, почему происходят такие вещи», - продолжает он, - «меня удивляет, что до сих существуют такие сайты, принимая во внимание огромные усилия, предпринимаемые нами для того, чтобы информировать людей».

  Dan Clements считает, что процесс установки "заплаток" на программы всегда будет несовершенным. Он считает, что компании-операторы карточных систем должны играть более активную роль в предотвращении появления дыр и создании системы оперативного реагирования.

  Фактически же, неприспособленность карт для совершения интернет-платежей невозможно прикрыть при помощи "заплаток". Даже попытки усовершенствовать систему платежей по картам за счет современных решений (наподобие 3D-архитектуры, предлагаемой Visa), не решают вопрос с существованием таких одиночных магазинов, как  Waxboxes и Derbytec.
  
  Источник:
  MSNBC: Year-old hole exposes credit cards
  http://www.msnbc.com/news/732515.asp?0dm
  
  Материалы на эту тему:
  Ситибанк пытается убрать из рунета список украденных карт
  http://mail.paycash.ru/PCLSE/Msg?ID=Ml&Z=21fh
  Дыра в защите магазина Guess.com давала возможность красть номера кредиток
  http://mail.paycash.ru/PCLSE/Msg?ID=Mt&Z=21fh
  Мошенники похитили товаров на сумму 700 млн. долларов
  http://mail.paycash.ru/PCLSE/Msg?ID=Mh&Z=21fh
  Пластиковые карты нуждаются в дополнительной защите
  http://mail.paycash.ru/PCLSE/Msg?ID=Mg&Z=21fh
  Цивилизованный рынок электронных платежей – почему он необходим?
  http://www.cinfo.ru/CI/CI_221_37/Articles/EPlay_221.htm

Обсудить в форуме

Обратная связь - cashalot@narod.ru