Хакер несколько месяцев воровал номера кредитных карт посетителей сайта

24/10/2008 12:17

SQL-инъекция позволила хакеру украсть номера платежных карт пользователей сайта электронной коммерции, а также секретные коды к картам. Злоумышленник действовал незамеченным несколько месяцев. Неизвестный хакер с помощью SQL-инъекции получил доступ к данным кредитных карт пользователей сайта theideacatalog.com. По информации, полученной сотрудниками компании Perimetrix, атаки начались еще в январе, однако зафиксированы были только сейчас. Скомпрометированными оказались все данные, указываемые при оплате товаров через интернет, включая номера кредитных карт, сроки их действия и секретные коды CVV. Украденной информации вполне достаточно для того, чтобы произвести несанкционированную оплату товаров и услуг в большинстве интернет-магазинов. Вместе с тем, пытаясь смягчить обстановку, официальные представители компании The Image Group заявили, что таких сведений, как номера социального страхования, украдено не было. В настоящее время веб-сайт закрыт. Проводится аудит ИТ-системы. Банки-эмитенты карт, данные о которых были украдены, оповещены о случившемся. «Одна из наиболее очевидных причин инцидента – халатное отношение к ИТ-безопасности, - сказал директор по маркетингу компании Perimetrix Денис Зенкин. - Регулярный мониторинг информационной системы, возможно, и не предотвратил бы хакерскую атаку, но сократил бы продолжительность вторжения и, как следствие, уменьшил бы его масштаб».
CNews