ГлавнаяО насНовостиСтатьиРешенияКонтакты
 Украинский интегратор защиты персональных данных

Из-за брешей в системах Oracle PeopleSoft могут быть похищены тысячи пользовательских данных

Хищение пользовательских данных

Системы Oracle PeopleSoft являются сложными, и им недостаточно простого обновления. ИБ-эксперты предупреждают, что уязвимости в системах Oracle PeopleSoft могут стать причинной утечки персональных данных в бизнес-компаниях, государственных организациях и университетах. Исследователи из ERPScan определили 549 систем Oracle PeopleSoft, доступ к которым можно получить через интернет. 231 из них уязвима к кибератакам типа TokenChpoken, которую эксперты ERPScan продемонстрировали в этом году.

По словам ИБ-эксперта из ERPScan Алексея Тюрина, самая критическая уязвимость кроется в некорректной генерации токенов для единого входа в систему. Исследователь создал сценарий, выполняющий брутфорс-атаку на токен и генерирующий новые cookie-файлы, и с успехом использовал его в ходе пентестинга систем PeopleSoft.

Технический директор ERPScan Александр Поляков рассказал изданию SCMagazine о том, что многие крупные мировые компании используют платформу Oracle PeopleSoft для управления различными ресурсами организации, включая такую личную информацию, как номера социального страхования и данные платежных карт.

Согласно информации ERPScan, кибератака TokenChpoken может быть осуществлена злоумышленниками для получения доступа к любой учетной записи в Oracle PeopleSoft, в результате чего в руках преступников оказывается полный доступ к системе PeopleSoft.

Из 549 систем Oracle PeopleSoft, доступных через интернет, 249 серверов принадлежат коммерческим предприятиям (169 компаний находятся в США), 64 сервера относятся к военным и государственным учреждением, а остальные 236 – университетам. Около 80 университетов используют систему Oracle PeopleSoft, которая уязвима к атаке TokenChpoken.

Стоит отметить, что в числе "уязвимых" университетов находится Гарвард, на компьютерную систему которого недавно была совершена кибератака. В результате нападения были скомпрометированы пароли электронной почты некоторых преподавателей, сотрудников и студентов (имена не уточняются) из многочисленных учебных подразделений.

Security Lab (08.07.2015 в 09:25) | вверх страницы | к списку новостей

Общие вопросы:

Что такое защита персональных данных?
Для чего это необходимо?
Если не выполнять требования Закона?
Типовые нарушения
Какие риски неисполнения требований законодательства?
Сколько потребуется времени и средств?
Что необходимо делать?
Кому доверить внедрение защиты персональных данных?
ГлавнаяО насНовостиСтатьиРешенияКонтакты
 Контактная информация
© 2003-2015 ООО "Ди Эй Кей продакшн"