200 тыс. клиентов Citibank были взломаны простым подбором URL

Личные данные более чем 200000 клиентов "Ситибанка" - имена, адреса и номера кредитных карт - попали в руки хакеров, сообщает New York Times. Каким же образом злоумышленники заполучили всю эту информацию? Банальной подстановкой символов в адресной строке браузера.

GYI0051214632.jpgПосле входа в личный кабинет URL текущей страницы содержал никак не зашифрованный идентификационный номер клиента, и всё, что необходимо было сделать, чтобы попасть в чужой личный кабинет - поменять эти символы. Одно нажатие клавиши превращало аккаунт Иванов32167 в аккаунт Иванов12345 - ни подтверждений, ни проверок, полный доступ!

Простейший скрипт заходил на сайт, автоматически собирал всю информацию, сохранял её, менял цифры в адресе и переходил к следующему клиенту. Тысячи раз. Более двухсот тысяч.

Думаю, каждый, кто хотя бы год пользуется Интернетом, осознаёт всю бредовость ситуации - даже бесплатные онлайн-игры защищены существенно лучше. Серьезный международный банк, который смог бы, при желании, взломать школьник? Отчего-то кажется, что в ближайшее время Сitibank откроет ряд интересных вакансий, да и необходимость по четыре раза вводить проверочные коды, чтобы положить с карточки сто рублей на телефон, возможно, не будет вызывает у клиентов такой ярости, как прежде.