Internet Security Threat Report 2014
Hotel reserva website Worldview Limited foi multada em £ 7500 sobre uma falha de segurança que envolve seu site que permitia que hackers para roubar todos os detalhes do cartão de pagamento de alguns 3.814 clientes.
Os dados sensíveis foi acessada após o atacante não identificado explorou uma falha de injeção SQL no website Worldview para acessar banco de dados de clientes da empresa. Embora os detalhes de pagamento dos clientes tinha sido criptografada, os meios para decifrar a informação - a chave de decodificação - foi armazenada com os dados, de acordo com uma investigação posterior por cães de guarda da privacidade no Gabinete do Comissário da Informação (ICO).
A combinação de erros de segurança permitiu que os criminosos virtuais para acessar todos os detalhes do cartão dos clientes, incluindo o código de segurança de três dígitos necessária para autorizar pagamentos.
"A fraqueza tivesse existido no site desde maio de 2010 e só foi descoberto durante uma atualização de rotina em 28 de junho de 2013," de acordo com um comunicado pela OIC sobre o caso. "Os atacantes tinham acesso à informação por dez dias. A empresa já corrigiu a falha e tem investido na melhoria de seus sistemas de segurança de TI."
Cosmovisão Limitada teria recebido uma pena de £ 75.000, mas a OIC foi necessário considerar a situação financeira da empresa, antes de decidir cobrar uma multa muito menos sever que não correr o risco de colocar a empresa fora do negócio.
Simon Rice, ICO Grupo Gestor de Tecnologia, disse que o infortúnio de Worldview oferece aulas para outras empresas de e-commerce, especialmente quando se trata de proteger contra ataques de injeção de SQL.
"Ataques de injeção SQL são evitáveis, mas as organizações precisam para passar o tempo e esforço para se certificar de seu site não é vulnerável necessário", disse Rice. "Cosmovisão não conseguiram fazer isso, permitindo que os dados do cartão de mais de três mil clientes a ser comprometida."
"As organizações devem agir agora para evitar um dos truques mais antigos dos hackers no livro. Se você não tiver a experiência em casa, em seguida, encontrar alguém que faz, caso contrário você pode ser o próximo organização no final de uma multa ICO e os danos à reputação que resulta de uma violação de dados grave ", acrescentou Rice.
Um post no blog pelo ICO explicar como um ataque de injeção SQL funciona e como as empresas podem se proteger contra ataques comuns de hackers podem ser encontrados aqui . A 47 página do guia de segurança on-line mais completo do ICO é aqui (PDF).
Paul Ayers, veep EMEA pelo especialista em segurança de dados Vormetric, disse infortúnios de Worldview também destacou a necessidade de gerenciamento de chaves de criptografia melhor.
"Impulsionada por requisitos de conformidade regulamentar e altamente visíveis falhas de segurança divulgadas publicamente, muitas das empresas de hoje estão olhando ansiosamente para encriptação controles de segurança de dados", explicou Ayers. "No entanto, a maioria está fazendo isso em uma base ad hoc, sem supervisão central ou estratégia de longo prazo no lugar."
"Como este caso demonstra crucialmente, chaves de criptografia não gerenciados podem representar um risco crítico para dados - e um risco real para a força vital de uma organização", acrescentou. ®
Nenhum comentário:
Postar um comentário