Слушать новости
Телеграм: @gazetaru
СПРАВКА

По мнению экспертов, мошенник пользовался техникой, известной как SQL-инъекция.

«Смысл SQL-иъекции состоит в следующем: при работе с базой данных сотрудник формирует специальные запросы, в ответ на которые база данных предоставляет ему необходимые данные, например, имена клиентов и их телефоны. Данные, недоступные этому пользователю, при определенных условиях, злоумышленник может «вытащить» путем включения (инъекции) в исходный запрос дополнительных служебных параметров. Самым надежным способом защиты от SQL-инъекции является фильтрация обрабатываемых данных, т.е. проверка на наличие служебных символов. Но таким механизмам разработчики и администраторы систем не всегда уделяют должное внимание», — говорит Иван Твердохлебов, консультант «Инфосистемы Джет».

SQL-инъекция достаточно трудоемка. «На западе внедряется единый стандарт защиты карточных данных. В соответствии с ним ритейлерам и платежным организациям запрещено хранить в открытом виде данные карточек, а данные по авторизации - в любом виде. В противном случае их ждут серьезные штрафы. Поэтому воровство было достаточно трудоемким процессом, если, конечно, не было следствием инсайдерского внедрения. Масштабы можно оценить, если представить, сколько бы заработали мошенники, если бы сняли, хотя бы по доллару с каждой карточки», — полагает Евгений Рудацкий, руководитель направления аудита «Инфосистемы Джет».


ВЕРНУТЬСЯ К СТАТЬЕ