Oklahomski Department of Corrections, agencja odpowiedzialna za zarządzanie więziennictwem, dopuścił się poważnych zaniedbań w zabezpieczeniu swojej strony. Spowodowało to możliwość włamania się na ich serwer i wyciągnięcie tysięcy prywatnych danych użytkowników.
Wystarczyła podstawowa znajomość SQL, by można było wejść w posiadanie prywatnych danych użytkowników. Cała sytuacja została opisana w serwisie The Daily WTF, z załączonym opisem krok po kroku, informującym w jaki sposób dokonano powyższego “włamania”.
Sprawa dotyczyła (przed ujawnieniem tej informacji autor skontaktował się z administratorami serwisu) jednej z podstron, na której można znaleźć listę osób oskarżonych o przestępstwa seksualne. Poprzez wejście przy użyciu spreparowanego linku uzyskiwało się dostęp do takich informacji jak data urodzenia czy numer ubezpieczenia społecznego.
Adres, pod którym wyświetlana była lista osób, zawierał informacje na temat wyświetlanych kolumn. By dostać się do ukrytych opcji, wystarczyło podmienić np. “doc_number” na “social_security_number”.
W sumie w ten sposób można było uzyskać listę 10.597 osób, które zarejestrowane były od 3 lutego 2005 do 13 kwietnia 2008 roku.
Na dzień dzisiejszy, po przeprowadzeniu “rutynowej konserwacji” przez administratorów, strony zawierające listy osób zostały poprawione.
Dodaj komentarz