程序漏洞导致美拼车网站泄漏敏感用户数据
美国南加州一家专门为用户提供拼车信息服务的网站RideMatch.info近日爆出网站程序漏洞,而该漏洞则可导致该网站参与拼车的用户私密数据泄漏,这些外泄的数据中则至少 包括该地一处军事基地工作人员的敏感信息。上月人们发现这家网站存在SQL注入式漏洞,黑客可网站上非法获取网 站用户的姓名,住址,电话号码,下班拼车的时间,甚至包括员工号码等等信息。至截稿为止,该网站依然没有修复这个漏洞,而两周前人们就已经将该 漏洞报告给网站的开发者。
“这些网站上存放了本不该在互联网上出现的敏感数据,”指出该网站存在这种漏洞的安全专家Kristian Hermansen表示,“我之所以要公开这个漏洞,是因为这家网站的管理员根本不把这当一回事,而这个漏洞却有可能会泄漏很多公司和公司员工的重要信息,所以我便把它公开以便能引起大家的重视。”
这家网站是由位于南加州的五个地区政府共同开发建立的,用户需要在这个网站上输入自己的工作,家庭住址,上/下班时间,然后这个网站会把具有同类特征的不同用户进行拼车配对。而据Hermansen表示,只要利用SQL注入漏洞,黑客几乎可以得到所有的网站用户数据。
据他测试,该网站的用户至少包括来自一家军事机构的雇员,不过出于保密起见,我们就不在这里公布这家机构的名称了。
这家网站的负责单位之一,Riverside交通委员会的一名发言人则表示,有关的主管部门正在Trapeze集团的帮助下对这个漏洞进行修复,该网站的拼车程序正是由该集团负责编制的。他表示:“我们相信这个漏洞会在未来几天内得到修补,目前Trapeze和我们正在协力修补这个安全漏洞。”
不过Trapeze的发言人Kim Emmerson周二则表示她对该漏洞毫不知情,但她同时表示一旦得到有关的消息,他们就会开始重视并修补该漏洞。
最近已经发生多起敏感网站存在SQL注入式安全漏洞的事件。三周前,联邦检方曾透露有黑客利用该漏洞攻破了Heartland支付系统和其它4家公司的网站,成功窃取了1.3亿份信用卡账号。
这种SQL注入式攻击漏洞的原理是利用网站的用户输入框输入非法数据,以此直接向网站后台数据库发送指令。一般发现漏洞后只需要花几分钟重新编写一两行代码即可修复这种漏洞。
其它负责该网站的单位和部门还包括:洛杉矶城市交通管理局,橘郡交通管理局,圣博娜迪诺联合政府以及Ventura交通委员会。
CNBeta编译
原文:theregister