Австралийские эксперты определили главную угрозу для информационной безопасности

Почти три четверти всех компаний, использующих в работе онлайновые финансовые платежи, открыты для взлома методом SQL-инъекции. К таким выводам пришли специалисты австралийской компании B-sec, специализирующейся на обеспечении информационной безопасности, сообщает сайт газеты The Courier Mail.

По данным B-sec, 72% ведущих австралийских компаний могут подвергнуться хакерской атаке методом SQL-инъекции, которая позволяет ее организаторам получить неограниченный доступ к корпоративным базам данных. Для получения такого доступа в ходе SQL-инъекции хакер дописывает в стандартный веб-адрес специальный код.

Результаты двухлетних исследований B-sec, основанные на реальных хакерских атаках и тщательном изучении приложений, стали «настоящим шоком», считает специалист в области электронного права Лейф Геймерцфельдер (Leif Gamertsfelder). «Если этот изъян так широко распространен, единственным объяснением может быть упущение в работе корпоративного управления. Знай любой здравомыслящий директор или сотрудник компании о таком риске, дыра была бы закрыта мгновенно», — сказал Геймерцфельдер.

Геймерцфельдер убежден, что в случае пропажи чьих-то персональных данных компании крайне трудно будет доказать, что она использовала адекватные меры для предотвращения хакерских атак такого рода. В качестве примера юрист привел случай разбирательства Федеральной комиссии по торговле (FTC) США и компании Guess Inc.

FTC обвинила Guess в непринятии необходимых мер для защиты сведений о клиентах, несмотря на заявления, размещенные на веб-ресурсе компании. Информацию о гарантиях безопасности клиентов на сайте Guess в федеральной комиссии назвали «ложной или вводящей в заблуждение».

В FTC отметили, что персональные данные клиентов Guess не хранились в базе в зашифрованном виде, как это было заявлено на сайте. Таким образом, компания не смогла защитить себя и своих клиентов от хорошо известных видов хакерских атак. «В феврале 2002 года посетитель сайта Guess, владеющий знаниями SQL, мог свободно прочитать номера кредитных карт, хранящихся в базе данных компании», — говорится в выводе FTC.

Эксперты B-sec полагают, что SQL-инъекции являются сейчас проблемой номер 1 в сфере информационной безопасности.

Игорь Громов