הבנק האירופאי המרכזי (ECB) הודה כי אתר האינטרנט שלו נפרץ, וכי פרטים אישיים של נרשמים בו נגנבו; מומחים מעריכים כי ההאקרים ניצלו פרצת SQL Injection באתר הבנק...
בהודעה לעיתונות אשר פרסם הבנק בשבוע שעבר נאמר כי האקר בלתי מזוהה הצליח לפרוץ אל מסד הנתונים של אתר האינטרנט של הבנק, ולגנוב את פרטיהם של כ-20,000 איש אשר נרשמו לאירועים שונים של הבנק.
עוד נמסר כי לא הושגה גישה אל מערכות פנימיות של הבנק, וכי מסד הנתונים שנפרץ מופרד לחלוטין מן המערכות הפנימיות של הבנק.
ההאקר עצמו הוא שהודיע לגורמי הבנק על הפריצה בהודעת מייל, ואף ביקש פיצוי כספי בתמורה להשבת המידע.
הבנק הודיע כי הודעות יישלחו לאנשים אשר פרטיהם נחשפו, וכי כל הסיסמאות על המערכת הרלוונטית שונו.
מומחי אבטחת מידע מערכים כי הפריצה עצמה לא היתה מתוחכמת, וכי התבססה על ניצול פרצת SQL Injection אשר ככל הנראה היתה קיימת באפליקציית אתר האינטרנט של הבנק. לדברי המומחים, דבר זה ככל הנראה מלמד על כך שהאתר "נוהל ע"י מחלקת השיווק של הבנק, ולא נבדק באופן מקצועי ומדוקדק כמו המערכות הרגישות של הבנק".
קית בירד, מומחה אבטחה בכיר בצ'קפוינט אומר כי בביקורות אבטחה אשר ערכה החברה ב-2013 ב-150 ארגונים וחברות פיננסיות ברחבי העולם, נמצא כי 88% מאותן חברות סבלו מאירועי דליפת מידע באותה שנה, עליה של 61% מן השנה הקודמת. וכך, עם העליה בהיקפי התקיפות על ארגונים פיננסיים - מודגש הצורך בחיזוק מערכי ההגנה, ובצורך במספר שכבות הגנה על המידע.
מומחה אבטחה נוסף אמר כי הלקח שיש ללמוד ממקרה זה הינו ש"אין מידע שאינו חשוב", כלומר שבהיבט של תקיפות סייבר - כל מידע של ארגון גדול ומרכזי הינו חשוב לתוקפים, וגניבתו תביא לנזק כזה או אחר לארגון הנפגע.
פריצה מסוג זה, אשר הביא לדליפת נתונים ממוסד מרכזי וחשוב מהווה פגיעה תדמיתית קשה בארגון הנפגע - וזאת ללא כל קשר לסוג המידע שנגנב.
איי פי וי סקיוריטי מבצעת באופן שוטף עבור לקוחותיה בדיקות אתרי אינטרנט מעמיקות אשר מבוצעות ע"י מומחי האבטחה האפליקטיביים של החברה ואשר מבוססות על מתודולוגיית החברה ועל כלי הבדיקה המובילים בתחום ה-Web Application Security Assessment בעולם, הן כלים ברישיון הן כלי Open Source.
לידיעה המלאה - כאן