Pravzaprav bi lahko rekli, da gre za res nerodno reč, ki se je pripetila ponudniku finančnih storitev Citigroupu. Leta 2011 je naslovnice praktično vseh časopisov in spletnih portalov polnila osrednja novica – mehanizme za spletno upravljanje storitev je možno zelo enostavno zaobiti in s tem vstopiti v imenu drugega uporabnika.
Za izvedbo nepooblaščenega dostopa je bil potrebno samo ustrezno prilagoditi naslov spletne strani. Torej – napadalci so priredili spletni naslov, da se je ob izvedbi pravilne prijave spremenil. Bolj podrobno? Ko se je nekdo prijavil s pravilnim uporabniškim imenom in geslom, se je kot del URL pojavila tudi številka. Če si spremenil številko, si bil prijavljen kot drug uporabnik. Napadalci so lahko dostopali do bančnih računov preko 200.000 komitentov in pri tem nezakonito pridobili okoli 2,7 milijona dolarjev.
V svetu kibernetske varnosti je bil ta napad obravnavan kot katastrofalen poraz na osnovnem področju izvajanja varovanja informacijskih sistemov, vsekakor pa je opozoril na določene slabosti, ki jih lahko prinaša spletna infrastruktura.
Ja – bilo je enostavno. Danes so stvari bolj komplicirane. Bereš članek, pa te nekdo naganja delat. Tako je danes…
