Утечка в FaceTime: поставщик ИБ-продуктов не смог себя защитить
Калифорнийская компания FaceTime, разрабатывающая системы защиты IM-программ, потеряла приватные данные собственных клиентов. Причиной инцидента стали ошибки в разработке веб-сайта компании, а именно – скрипты в одной из форм регистрации на портале. Как выяснилось, данные, которые вводились во время регистрации, хранились в незащищенном файле с разрешением .csv, а комментарии в коде формы регистрации четко указывали путь к этим файлам на сайте.
Таким образом, приватные данные нескольких сотен людей были скомпрометированы. По уверением представителей FaceTime, "чувстительная" информация не пострадала – форма регистрации запрашивала только самые простые сведения (имя, компания, почтовый и e-mail адрес, а также номер телефона).
Однако данный инцидент имеет весьма загадочный характер. Дело в том, что настройки сайта FaceTime запрещает пользователям извне открывать .csv файлы. Как отметил вице-президент FaceTime Франк Кабри (Frank Cabri), во время утечки данная защита почему-то была отключена, однако в логах это обстоятельство никак не отразилась. Поэтому специалисты вендора считают, что сбрасывание настроек стало следствием какого-нибудь обновления или патча. В настоящее время FaceTime оповещает пострадавших пользователей и проверяет свои ресурсы на предмет других похожих ошибок.
"Парадоксально, но еще один игрок рынка ИТ-безопасности не смог защитить самого себя. Наверное, сетования руководителей FaceTime на сбой системы в результате обновления выглядят несколько странно. Во-первых, даже если бы такой сбой произошел, то сменились бы настройки сайта – и специалисты департамента тут же вернули бы их на место. И, во-вторых, совершенно неясно, зачем компании потребовалось хранить приватные данные на интернет-сервере, - говорит Денис Зенкин, директор по маркетингу компании InfoWatch. – Мне кажется, что данный инцидент приведет к серьезным репутационным потерям. Если компания не может защитить себя, то почему она сможет защитить других?"
Таким образом, приватные данные нескольких сотен людей были скомпрометированы. По уверением представителей FaceTime, "чувстительная" информация не пострадала – форма регистрации запрашивала только самые простые сведения (имя, компания, почтовый и e-mail адрес, а также номер телефона).
Однако данный инцидент имеет весьма загадочный характер. Дело в том, что настройки сайта FaceTime запрещает пользователям извне открывать .csv файлы. Как отметил вице-президент FaceTime Франк Кабри (Frank Cabri), во время утечки данная защита почему-то была отключена, однако в логах это обстоятельство никак не отразилась. Поэтому специалисты вендора считают, что сбрасывание настроек стало следствием какого-нибудь обновления или патча. В настоящее время FaceTime оповещает пострадавших пользователей и проверяет свои ресурсы на предмет других похожих ошибок.
"Парадоксально, но еще один игрок рынка ИТ-безопасности не смог защитить самого себя. Наверное, сетования руководителей FaceTime на сбой системы в результате обновления выглядят несколько странно. Во-первых, даже если бы такой сбой произошел, то сменились бы настройки сайта – и специалисты департамента тут же вернули бы их на место. И, во-вторых, совершенно неясно, зачем компании потребовалось хранить приватные данные на интернет-сервере, - говорит Денис Зенкин, директор по маркетингу компании InfoWatch. – Мне кажется, что данный инцидент приведет к серьезным репутационным потерям. Если компания не может защитить себя, то почему она сможет защитить других?"
Ещё новости по теме:
18:20