Похищена объемная база конфиденциальных данных клиентов туроператора CitySights NY

22.12.2010

Американский туроператор CitySights NY, специализирующийся на автобусных экскурсиях по Нью-Йорку, пострадал от нападения хакеров.

В официальном сообщении CitySights NY говорится, что хакеры осуществили нападение на ее онлайн-представительство посредством SQL-инъекции. Компания узнала о произошедшем благодаря веб-программисту, который обнаружил в одной из папок на сервере "неавторизованный скрипт", загруженный туда извне,  с его помощью и была скомпрометирована и похищена объемная база конфиденциальных данных клиентов компании.

Хакерам удалось извлечь таблицы с именами клиентов, их электронными и физическими адресами, а также основные данные о кредитных картах. В совокупности этих сведений вполне достаточно, скажем, для оплаты покупок в Интернет-магазинах. 

Известно, что Веб-сайты довольно часто оказываются уязвимы для атак посредством SQL-инъекций, если разработчик использует недостаточно защищенные формы для приема и обработки пользовательских запросов, например, при создании средств поиска. Злоумышленник, вводя особым образом составленные строки, может послать через эти формы запрос непосредственно к базе данных сервера, а это прямой путь для утечки информации.

Компания Twin America, которой принадлежит туроператор CitySights, заявила, что для предотвращения новых происшествий принимаются все необходимые меры по повышению уровня безопасности данных, в частности, доступ к серверам извне был ликвидирован, а на входе в сеть компании появился аппаратный брандмауэр.

Туроператор CitySights NY начал уведомлять своих клиентов об инциденте еще две недели назад. Всем пострадавшим туроператор обещает бесплатный мониторинг операций по карте в течение одного года, а также 50-процентную скидку на свои услуги.