IBM e-kereskedelmi szoftver: rés a pajzson

Kiss Ádám Zoltán Kiss Ádám Zoltán , 2001. március 8. 21:55
Két hacker olyan programot tett közzé, mely feltöri az IBM régebbi e-kereskedelmi programjának védelmét, ezzel lehetőséget adva a digitális tolvajoknak, hogy weboldalak százait fosztogassák.
Az IBM Net.Commerce és WebSphere Commerce programjait futtató szerverekre egy speciális webcímzéssel és a programmal lehet behatolni, és megszerezni a jelszavakat, a felhasználók neveit, és minden nyilvántartási adatot, beleértve a rendszergazda belépőkódját is. A két hacker: xor37h és darkman, teljes használati utasítást is közöl a programhoz. A CNET News.com felmérése szerint a lehetséges áldozatok között van néhány online ékszerüzlet, és háztartási-berendezés bolt, valamin könyvesboltok, és egyetemi üzletek is. A hackerek szerint a veszélyeztetett online üzletek szám meghaladja a háromszázat.

Az IBM elismerte a hiba létezését, és megkérték az üzemeltetőket, hogy használják a már meglevő javításokat a hiba befoltozására. A javítások már korábban elkészültek, csak azok veszélyeztetettek, akik a WebSphere Commerce Suite 4.1-es változatát, vagy a Net.Commerce 3.2-es változatást használják, és eddig elmulasztották a frissítést. Az IBM szerverek lehetővé teszik a jelszóváltoztatásokat, de a hackerek úgy találták, hogy a legtöbb rendszergazda nem élt ezzel a lehetőséggel.