Обнаружена уязвимость в базе данных Управления служб общего назначения США

Обнаружена уязвимость в базе данных Управления служб общего назначения США

Обнаруженная брешь может позволить пользователям, находящимся в системе, просматривать регистрационную информацию других пользователей.

15 марта 2013 года Управление служб общего назначения США (General Services Administration, GSA) опубликовало сообщение об уязвимости в своей регистрационной системе. Обнаруженная брешь может позволить пользователям, находящимся в системе, просматривать регистрационную информацию других пользователей.

База данных под названием System for Award Management (SAM) среди прочей информации содержит также такие регистрационные записи подрядчиков, как персональные и банковские данные, информацию о финансах компаний, а также коды, предоставляющие доступ к оценкам их производительности.

Пресс-секретарь GSA Жаклин Стюарт (Jackeline Stewart) сообщила: «Все зарегистрированные пользователи SAM были предупреждены о сложившейся ситуации». Стюарт не назвала количество пользователей системы, однако известно, что в настоящее время в SAM зарегистрировано около 600 тысяч компаний. 

По словам экспертов, уязвимость подобного рода может быть вызвана вредоносными или случайными действиями. Стюарт не уточнила, была ли обнаруженная уязвимость результатом преднамеренной SQL-инъекции, случайностью, вызванной сбоем в управлении паролями или несвоевременным обновлением программного обеспечения.

Осуществление SQL-инъекции означает, что кто-то намеренно воспользовался ошибкой кодирования для выполнения несанкционированных команд и нарушения системы. По словам представителя компании Secure Ideas Кевина Джонсона (Kevin Johnson), пока еще рано говорить что-либо наверняка, но вероятность того, что была осуществлена SQL-инъекция, весьма велика.

«Я всегда использую подобные уязвимости для получения именно этого типа данных. К сожалению, они часто встречаются в правительственных web-приложениях» - заявил Джонсон, добавив, что причиной сбоя могут послужить также и другие факторы.

GSA обновило программное обеспечение, чтобы устранить уязвимость. Доказательств того, что данные каких-либо компаний были скомпрометированы, повреждены или использовались не по назначению, обнаружено не было.

Домашний Wi-Fi – ваша крепость или картонный домик?

Узнайте, как построить неприступную стену