14:49
16/6/2011
16/6/2011
Atakujący po prostu zmieniali identfikator klienta widoczny w pasku adresu przeglądarki na inny. Brak kontroli dostępu w bankowych skryptach umożliwił podgląd danych innych klientów. O ataku pisaliśmy tutaj. Jeśli jesteś zainteresowany bezpieczeństwem webaplikacji — zachęcamy do udziału w naszym szkoleniu.
Posłuchaj jednego z naszych 8 cyberwykładów. Wiedzę podajemy z humorem i w przystępny dla każdego pracownika sposób. Zdalnie lub u Ciebie w firmie. Kliknij tu i zobacz opisy wykładów!
Każdy powinien zobaczyć te webinary! Praktyczna wiedza i zrozumiały język. 6 topowych tematów — kliknij tutaj i zobacz szczegółowe opisy oraz darmowy webinar.
Aż zabolało ;x
Wygląda na to, że wystawiali na świat publiczne API dostępowe do danych klientów. ;]
W podobny sposób załatwiono niedawno Sony – można było każdemu zmienić hasło do konta PSN. Tyle że tam trzeba było znać podaną datę urodzenia i email, a tutaj… “Bierz co chcesz” :)
Powiem tylko, że identycznie sprawa wyglądała w systemie rozliczeń energetycznych ENERGA.
Od zgłoszenia 3 tygodnie na naprawę
orange.pl też miało podobną luke z rok temu