Крупнейший банк в Индии устранял критическую SQL-инъекцию 22 дня
06.09.2011
HDFC Bank является одним из главных банков Индии. Специалисты из zSecure обнаружили критическую ошибку в базе данных 15 июля 2011 и незамедлительно доложили о ней банку. При помощи "слепой" SQL-инъекции хакеры могли получить полный доступ к серверу, создав дамп базы или даже осуществить загрузку шелла. В своем блоге zSecure пишут о том, что после того, как они предупредили банк о потенциальной угрозе, банку понадобилось 22 дня, чтобы дать ответ! В итоге банк заявил о том, что они устранили ошибку. zSecure провели проверку и обнаружили, что ничего не было сделано. Они написали еще одно письмо банку, с дополнительными доказательствами наличия уязвимости, однако, банк снова ответил только через два дня. Вот что они написали:
"Мы устранили все уязвимости на нашем сайте. Также мы обратились с просьбой произвести оценку уязвимости к независимой организации, и они подтвердили, что ошибка устранена".
После получения такого ответа от HDFC, zSecure прислал дополнительную информацию команде безопасности банка и, в конце концов, HDFC смогли устранить проблему.
