Утечка в FaceTime: поставщик ИБ-продуктов не смог себя защитить
Калифорнийская компания FaceTime, разрабатывающая системы защиты IM-программ, потеряла приватные данные собственных клиентов. Причиной инцидента стали ошибки в разработке веб-сайта компании, а именно – скрипты в одной из форм регистрации на портале. Как выяснилось, данные, которые вводились во время регистрации, хранились в незащищенном файле с разрешением .csv, а комментарии в коде формы регистрации четко указывали путь к этим файлам на сайте.Таким образом, приватные данные нескольких сотен людей были скомпрометированы. По уверением представителей FaceTime, «чувстительная» информация не пострадала – форма регистрации запрашивала только самые простые сведения (имя, компания, почтовый и e-mail адрес, а также номер телефона).
Однако данный инцидент имеет весьма загадочный характер. Дело в том, что настройки сайта FaceTime запрещает пользователям извне открывать .csv файлы. Как отметил вице-президент FaceTime Франк Кабри (Frank Cabri), во время утечки данная защита почему-то была отключена, однако в логах это обстоятельство никак не отразилась. Поэтому специалисты вендора считают, что сбрасывание настроек стало следствием какого-нибудь обновления или патча. В настоящее время FaceTime оповещает пострадавших пользователей и проверяет свои ресурсы на предмет других похожих ошибок.
«Парадоксально, но еще один игрок рынка ИТ-безопасности не смог защитить самого себя. Наверное, сетования руководителей FaceTime на сбой системы в результате обновления выглядят несколько странно. Во-первых, даже если бы такой сбой произошел, то сменились бы настройки сайта – и специалисты департамента тут же вернули бы их на место. И, во-вторых, совершенно неясно, зачем компании потребовалось хранить приватные данные на интернет-сервере, - говорит Денис Зенкин, директор по маркетингу компании InfoWatch. – Мне кажется, что данный инцидент приведет к серьезным репутационным потерям. Если компания не может защитить себя, то почему она сможет защитить других?»
© CNews