Unknown people have stolen data credit cards, από ιστοσελίδα με αντικείμενο τις κρατήσεις ξενοδοχείων, χρησιμοποιώντας το κλειδί αποκρυπτογράφησης που ήταν αποθηκευμένο μαζί με τα δεδομένα των πελατών. H Επιτροπή Πληροφοριών του Ηνωμένου Βασιλείου (Information Commissioner's Office), fined Worldview Limited €9.560 for keeping the key decryption along with the data, allowing attackers to obtain access to sensitive information of 3.814 customers. Full card details and security codes were included in the database, among other things.
The hackers took advantage of a vulnerability in the company's website and gained access to the data via SQL injection. The ICO (Information Commissioner's Office) has issued an invitation to organizations to immediately initiate the necessary actions for the protection of their websites “against one of the most common forms of electronic attack - SQL injection. "With the decryption key where the encrypted information is stored and utilizing one of the most basic forms of attacks, the attackers had no problem accessing the full details of the cards.
According to a report from the ICO, code ασφαλείας (CVV ή CVV2), είναι μια σειρά από αριθμούς που απαιτούνται για τις online πληρωμές, ως μέσο, για να επικυρωθεί ότι η φυσική κάρτα είναι διαθέσιμη και παράλληλα υπάρχει στη βάση δεδομένων. Οι βέλτιστες πρακτικές που προωθούνται από τη βιομηχανία καρτών συνιστούν σε εμπόρους να μην αποθηκεύουν το CVV ή CVV2 στα συστήματά τους. Η Αποθήκευση του κωδικού γίνεται γενικότερα για την ευκολία των recurrent shoppers (πελατών που ξαναψωνίζουν) , ώστε να μην χρειάζεται να εισάγουν όλα τα στοιχεία της κάρτας. Ωστόσο, σε περίπτωση που ο online λογαριασμός τους παραβιαστεί, ο εισβολέας μπορεί να ξεκινήσει τις αγορές σαν να ήταν ο πραγματικός ιδιοκτήτης του λογαριασμού.
SQL injection is one of its simplest forms attackς
The ICO reports that the SQL vulnerability has been on the Worldview Limited website since May 2010 and was discovered on June 28, 2013, during an audit. It seems that the intruders had access to the sensitive data for a period of ten days. Worldview Limited solved the problem on its website and took all necessary measures to prevent similar incidents in the future. "It may sound strange to many in the security industry that this type of attack is still being used. SQL injection attacks can be prevented, provided that organizations take the time to make sure their website is secure. "Worldview failed to do so, putting the credit card details of 3000+ customers at risk," said Simon Rice, Rice, ICO Group Manager.
