110,000 credit card records stolen in NY tour company web server breach

110,000 credit card records stolen in NY tour company web server breach

Web Server ของบริษัท CitySights ในเมืองนิวยอร์ค พบว่าถูกขโมยข้อมูลของลูกค้า ได้แก่ ชื่อ , ที่อยู่ , อีเมล , เลขที่บัตรเครดิต , วันหมดอายุบัตร และเลขที่ตรวจสอบหลังบัตร ของลูกค้าประมาณ 110 ,000 ราย โดยรายละเอียดของการโจมตีพบว่า เกิดขึ้นเมื่อวันที่ 26 กันยายน โดยที่ผู้ประสงค์ร้ายอัพโหลดสคริปที่ใช้โจมตี SQL injection ไปยังเซิฟเวอร์ซึ่งทำให้เขาสามารถเข้าถึงข้อมูลต่างๆของเซิฟเวอร์ได้ และหลังจากนั้น Web Programmer ตรวจพบสคริปดังกล่าวเมื่อวันที่ 25 ตุลาคม

วิธีป้องกันเคสดังกล่าว คือ การตรวจสอบโค้ดต่างๆที่เขียนบนหน้าเว็ปเพจเหล่านั้น มีการตรวจสอบ input จากผู้ใช้งานหรือไม่ หรือการใช้ Web Application Firewall ก็เป็นตัวช่วยในการป้องกันเหตุการณ์ดังกล่าวได้เช่นกัน

The web server of CitySights NY – a company that organizes tours around New York on double-decker buses – has been breached and names, addresses, e-mail addresses, credit card numbers, their expiration dates and Card Verification Value 2 codes belonging to 110,000 of their customers have been stolen.

The breach is thought to have happened on September 26, when the attackers uploaded a script using an SQL injection attack , which allowed them to access the database on that web server . According to the breach notification letter sent to and published by New Hampshire ‘s attorney general, the compromise was discovered on October 25, when a web programmer discovered the unauthorized script.

Twin America , CitySights NY ‘s parent company, says in the letter that they have taken “several important steps to improve the level of its data security”, including:

* Changing all administrative level passwords and selecting more complex ones
* Limiting the access to the administration panel and the server to a handful of pre-approved IP addresses
* Patching scripting vulnerabilities and setting up an applications firewall
* Reconfiguring its systems so that in the future, transaction are processed without storing the provided credit card data.

They have also been sending breach notification letters to the affected customers, offering them a one-year free membership with a credit monitoring service and a coupon with a 50% discount for one of their tours.

The problem is, they attached the coupon with the code to the breach notification letter published by New Hampshire ‘s attorney general. Not only is the code extremely simple to guess (“012345”), but is now common knowledge since its published (and, incidentally, it works). It seems to me that the company should learn to take the security of any information seriously.

ที่มา : net-security

Add a Comment

Your email address will not be published. Required fields are marked *