Британцы защищают визовые анкеты лишь "глубокой" ссылкой // 04 Декабря 2012

Личные данные индийских туристов оказались доступны любому желающему на сайте компании VFS India, оформляющей визы в Британию, - сообщает DaniWeb.

Обнаруживший "дыру" пользователь тут же сообщил об этом администрации сервиса, после этого компания игнорировала уязвимость еще год.

Санжиб Митра (Sanjib Mitra) заполнил заявку на сайте, отослал ее, но передумав, попытался вернуться к форме, нажав в браузере "Назад". Когда это не получилось, он попробовал вручную исправить URL в адресной строке и попал на страницу с чужой заявкой, уже заполненной и ожидавшей обработки.

Митра написал электронные письма с описанием проблемы в компании VFS India и British High Commission, которые отвечают за выдачу британских виз. Из последней ему спустя два месяца пришел ответ в духе «спасибо, что сообщили». А отвечающая за онлайн-сервис VFS письмо проигнорировала. Решить эту проблему в стране, занимающейся IT-разработками для всего мира, никто и не подумал.

Дело сдвинулось с мeртвой точки, только за дело взялись журналисты. В ходе их расследования выяснилось, что ручной ввод позволял просматривать визовые заявки не только тех, кто путешествовал из Индии в Великобританию, но и всех клиентов VFS, поданные с 2001 года.

Ещe недавно британцы провели исследование, где разглагольствовали о продуманном создании и правильном использовании технических систем безопасности для защиты личных данных. Однако, судя по описанному случаю, даже в высокотехнологичной Индии они не нашли способа закрыть глубокие ссылки от публичного доступа.

Впрочем, как показывает практика, именно ведомства, которые имеют дело с секретной информацией, хуже всего управляются с ней. К примеру, в конце 2004 года таким же способом обнаружилась уязвимость, позволявшая с помощью ручного ввода ссылки редактировать сайт Интерпола.

Источник: Webplanet