Hadilábon áll az adatok védelmével az indiai McDonald’s
A McDonald’s Indiában használatos egyik alkalmazása kapcsán egy súlyos sebezhetőségre derült fény. Noha a magyar felhasználókat nem érinti az eset, az mégis sok tanulsággal szolgál.A Fallible biztonsági cég januárban számolt be azon elemzéseiről, amelyekből kiderült, hogy sok alkalmazás feleslegesen vagy nem kellően védetten tárolja a hitelesítésekhez, illetve a titkosításokhoz használatos kulcsokat, tokeneket. A vállalat jelezte, hogy emiatt Twitter, Flickr, Dropbox, Slack, Uber és Amazon AWS fiókok is veszélybe kerülhetnek. Fontos hangsúlyozni, hogy most nem a Twitter, Dropbox stb. által fejlesztett szoftverek esetében merültek fel problémák, hanem olyan külső appokkal kapcsolatban jelentkeztek hiányosságok, amik például a Twitter authentikációs mechanizmusait, API-jait is használják.
A Fallible a vizsgálatait az elmúlt hetekben is folytatta, és ezúttal a McDonald’s megoldásait vette alaposabban is szemügyre. Nem is haszontalanul, ugyanis egy súlyos sérülékenységről sikerült lerántania a leplet. Az az egyik webes API-kapcsán merült fel, és felhasználói adatok kiszivárogtatását tehette lehetővé. A cég szerint akár 2,2 millió indiai felhasználó adatai is veszélybe kerülhettek.
A nem megfelelően védett webes megoldáson keresztül viszonylag egyszerűen nyílt lehetőség adatgyűjtésre. Egyebek mellett nevek, e-mail címek, telefonszámok, postázási címek, lakhelyek koordinátái és közösségi profilokra vezető linkek is szabadon lekérdezhetővé válhat.
Adatlekérdezés a sebezhető rendszerből - Forrás: Fallible
A McDelivery kiszolgálását végző rendszerbe korábban regisztrált felhasználók adataihoz akár automatizáltan, tömegesen is hozzá lehetett jutni. Ennek oka, hogy az érintett API a felhasználói adatok lekérdezésekor nem végzett semmiféle hitelesítést, azaz nem ellenőrizte, hogy egy felhasználó valóban csak a saját adataihoz próbál-e hozzáférni. Ráadásul a lekérdezéseket olyan ügyfélazonosítóval lehetett kezdeményezni, amely 1-től indult, és egyesével növekedett.
A Fallible február 7-én jelezte a felfedezését a McDonald’s India kirendeltségének, és február 13-án kapott választ, miszerint a biztonsági rést befoltozták a fejlesztők. Csakhogy a megismételt vizsgálatok során kiderült, hogy a foltozás nem volt teljes körű, így a kockázatok még fennállnak. A biztonsági cég szerint az eset és az elhúzódó hibajavítás egyik oka, hogy India nem áll jól az adatvédelem szabályzásának terén. Nincsnek szigorú jogszabályok, a meglévő előírások betartatása sem kiemelt szempont, és a büntetések sem elrettentő nagyságúak.
-
Kritikus fontosságú hibajavítás vált elérhetővé a ChromeOS-hez.
-
A ClamAV kapcsán egy közepes veszélyeségű sebezhetőségre derült fény.
-
Az IBM két sebezhetőségről számolt be a WebSphere Application Server kapcsán.
-
Az Oracle 71 hibajavítást adott ki az Oracle Linux operációs rendszerhez.
-
Több mint egy tucat biztonsági javítással bővült a Google Chrome.
-
Letölthető a VirtualBox legújabb kiadása benne 13 biztonsági javítással.
-
Az Oracle nyolc olyan biztonsági résről számolt be, amelyeket a Database Server kapcsán kellett orvosolnia.
-
A MySQL három tucat biztonsági frissítéssel gyarapodott.
-
Az Java több mint egy tucat biztonsági frissítést kapott.
-
A Microsoft három biztonsági rést foltozott be az Edge webböngészőn.
Minden szülő legrosszabb rémálma felvenni egy ismeretlen számról érkező hívást, és azt hallani, hogy a gyermeke segítségért kiált.
Az online társkeresés elterjedésével alapjaiban változott meg az emberek közötti kapcsolatteremtés.