Сайт конференции Macworld взломали за 10 секунд

Курт Гратсмачер (Kurt Grutzmacher), специалист компьютерной безопасности, утверждает в своем блоге, что смог наряду с VIP и людьми, заплатившими весьма значительные суммы, попасть на прошлой неделе на конференцию Macworld с помощью "платинового пропуска", за который не были заплачено ни доллара.

По словам Гратсмачера, на сайте Macworld из-за низкого уровня безопасности получить код, необходимый для создания карты пропуска, не составило труда. Тем не менее, Гратсмачер не стал делать тайны из своего поступка: использовав карту в прошлый понедельник, он на следующий же день сообщил организаторам о произошедшем. Кстати, с него так и не потребовали $1695 – сумму, которую "простые смертные" отдавали за право посетить Macworld. Компания IDG World Expo, организатор Macworld, не отрицает, но и не подтверждает факт взлома.

Билли Гофман (Billy Hoffman), исследователь компании SPI Dynamics, приводит данный инцидент как пример уязвимости Web 2.0 – IDG с его помощью желала упростить регистрацию. Однако применение JavaScrip стало причиной уязвимости системы выдачи пропусков. По словам Гратсмачера, во время посещения страницы Macworld она уже содержала зашифрованный список, названный "Priority Codes", который не составило труда взломать – на это ушло всего 10 секунд.