Американская компания The Princeton Review, которая предоставляет различные образовательные услуги ученикам и учебным заведениям, сообщила об утечке более 100 тыс. персональных записей. Как сообщает издание New York Times, причиной утечки стала ошибка конфигурации веб-сервера - чтобы получить доступ к конфиденциальным данным, пользователю Сети требовалось всего лишь немного изменить адрес ресурса в строке браузера. Интересно, что утечка была обнаружена прямым конкурентом Princeton Review, название которого New York Times не раскрывает.
По данным аналитического центра Perimetrix, изначально информация была защищена паролем, однако после переезда к новому хостинг-провайдеру этот пароль почему-то перестал работать. Кроме персональных данных учеников, в Сети оказалась и проприетарная информация образовательной фирмы. И более того, отдельные скомпрометированные файлы показали, что Princeton Review нарушала авторские права другой фирмы при разработке тестовых заданий.
"Допустив довольно глупую утечку, компания Princeton Review серьезно подмочила свою репутацию. По всей видимости, уязвимость на сайте вскрылась при использовании аналога SQL-инъекции, - считает руководитель аналитического центра компании Perimetrix Владимир Ульянов. - Отдельно отмечу действия неизвестного конкурента Princeton, который умело воспользовался ситуацией, сообщив об инциденте не куда-нибудь, а сразу в New York Times".
www.cnews.ru