Поделиться
Многие интернет-магазины не гарантируют конфиденциальности своих клиентов
Владельцы кредитных карт никогда не находятся в полной безопасности совершая покупки в интернете. Еще одним подтверждением этому стала история с очередным магазином, небрежно хранящим информацию о кредитных картах своих клиентов. На сей раз речь идет о магазине спортивной одежды Waxboxes.com. В его программном обеспечении в течение целого года существовала дыра, позволяющая получать персональную информацию о клиентах, включая их имена и номера кредитных карт, сообщает платежная система PayCash. Для организации работы магазина использовалась программа PDG Shopping Cart.Около года назад специальный отдел ФБР по борьбе с киберпреступностью опубликовал данные очередного исследования, в котором содержалась информация, имеющая отношение к программному продукту PDG. Было выявлено, что непредвиденным результатом работы программы является генерация интернет-странички с информацией о сделке, включая и полные данные о покупателе. Причем эта страничка оставалась висеть в интернете, доступная для загрузки. PDG Software довольно быстро отреагировала на это известие, разослав всем своим клиентам соответствующую "заплатку" и подробные инструкции по ее установке.
Не так давно Дэн Клементс (Dan Clements), готовивший новости для сайта CardCops.Com, обнаружил, что одна из таких дыр до сих пор не ликвидирована на сайте упомянутого магазина Waxboxes.com, спустя год после опубликования информации о ее существовании.
Попытки связаться с администрацией магазина ни к чему не привели - на письма и на телефонные звонки никто не отвечал, хотя сайт магазина вроде бы продолжал работать. Хуже всего было то, что странички с информацией о клиентах продолжали висеть в интернете. Отчаявшись связаться с администрацией магазина, он обратился к провайдеру Interland, осуществлявшему веб-хостинг магазина. Только после звонка были приняты меры, и утечка информации прекратилась.
Провайдер сообщил, что он продал своему клиенту программу PDG для его магазина, справедливо полагая, что ответственность за установление программ-заплаток лежит на самом магазине. Почему информация об обновлениях не дошла до Waxboxes.com сказать сейчас трудно. Барбара Гибсон (Barbara Gibson), менеджер Interland, подтвердила, что сразу же после того, как стало известно о наличии дыры в программе, PDG рассылал серию из шести уведомлений о необходимости установить заплатку. Кроме того, они связывались со своими клиентами по телефону.
Уже после того, как инцидент с Waxboxes был исчерпан, г-н Клементс сумел разыскать еще один магазин, расположенный на сайте Derbytec.com. Этот магазин также использовал старую версию PDG Shopping Cart. После того как он связался с администрацией магазина, были в срочном порядке приняты соответствующие меры - сделан апгрейд до новой версии, не содержащей ошибки.
Дэвид Снайдер (David Snyder), президент PDG Software, утверждает, что сотрудники компании предпринимали многочисленные попытки связаться с магазином. "Я не знаю, почему происходят такие вещи, - заявил он, - меня удивляет, что до сих существуют такие сайты, принимая во внимание огромные усилия, предпринимаемые нами для того, чтобы информировать людей".
Г-н Клементс считает, что процесс установки программ-заплаток всегда будет несовершенным. Он считает, что компании-операторы карточных систем должны играть более активную роль в предотвращении появления дыр и создании системы оперативного реагирования.
Фактически же, неприспособленность карт для совершения интернет-платежей невозможно прикрыть при помощи заплаток. Даже попытки усовершенствовать систему платежей по картам за счет современных решений (наподобие 3D-архитектуры, предлагаемой Visa), не решают вопрос с существованием таких одиночных магазинов, как Waxboxes и Derbytec.
Источник:
По материалам PayCash
Короткая ссылка
