Největší únik dat způsobil útok SQL injection

26. 8. 2009

Sdílet

Jeden z největších úniků dat, při němž byly z databází společností Heartland, Payment Systems, TJX, Barnes & Noble Hannaford Bros., 7-Eleven a dalších provozovatelů obchodních systémů odcizeny údaje o 130 milionech platebních karet, zřejmě způsobil útok typu SQL injection.

Za útok je činěna zodpovědná skupina, kterou vedl Albert Gonzales. On i jeho dva údajní komplici již byli zatčeni. Útok byl podle vyšetřovatelů citovaných americkým Computerworldem veden proti špatně zabezpečené webové aplikaci. Jakmile podvodníci získali pomocí SQL injection přístup k síťové infrastruktuře, kde se údaje o kartách zpracovávaly, nasadili zde nástroje pro sledování paketů, jimiž se dostali k vlastním datům.

Některé postižené firmy údajně používaly starší verze Microsoft SQL Serveru, které jsou k těmto zranitelnostem zvlášť náchylné.