Один из покупателей крупного виртуального магазина Outpost.com случайно обнаружил в системе "дыру", позволяющую узнать, что приобретают другие покупатели, узнать адреса их электронной почты, физические адреса, и многие другие данные, которые не должны попадать в широкий доступ.
Узнайте больше в полной версии ➞Джеймс Уинни, проверяя свою "корзину покупателя" на Outpost.com, решил выяснить, что случится, если в длинном URL-адресе его "корзины", где указаны различные параметры (см. рисунок выше), поменять цифры номера заказа, то есть попробовать попасть в "корзину" другого покупателя. Оказалось, что это возможно - измененный адрес привел его на эккаунт другого пользователя Outpost.com, где содержалась различная приватная информация. В частности, там можно было найти не только список всех заказанных данным пользователем товаров, но и все их адреса - адрес электронной почты, адрес, по которому послан заказ, и адрес банка, через который произведен расчет.
Представители Outpost.com признали наличие "дыры" в понедельник, и сообщили, что к вечеру проблема была решена. По их словам, дыра не давала доступа к "важной инфомации", вроде номеров кредитных карточек. Однако они признали, что если персональную информацию (имена, адреса) пользователи вводят по собственному желанию и она является открытой, то информация о сделанных покупках должна быть все-таки как-то засекречена.
Между тем, как передает WiredNews, специалисты считают, что такая "дыра" может быть использована во вред тем, кто не хотел афишировать свои покупки и вкусы, и потому делал заказы анонимно. В частности, наличие подобных "дыр" - настоящая находка для тех, кто составляет базы данных своей "целевой аудитории", а затем рассылает спам.
Специалисты также полагают, что в современном Интернете таких "дыр" значительно больше, чем кажется по новостям об их обнаружении. "Все, что нужно хакеру, чтобы найти такие дыры - это время от времени тыкать пальцем туда, куда никто не тыкает", - считает Рей Эверетт-Черч, глава службы безопасности из Alladvantage.com.