• О проекте
  • Услуги
  • Заказать услугу
  • Новости
  • Блог
  • Глоссарий
  • Контакты
  • Новости

    Тысячи пользовательских данных могут быть похищены из-за уязвимостей в OraclePeopleSoft

    Специалисты по интернет-безопасности выяснили, что бреши в системах OraclePeopleSoft могут стать причиной хищения персональной информации в государственных организациях, бизнес-предприятиях и учебных заведениях.

    По результатам исследований представителей ERPScan было выявлено, что через интернет можно получить доступ к 549 системам OraclePeopleSoft. Интересно, что 231 из них уязвимы к нападениям типа TokenChpoken, которую в этом году продемонстрировали специалисты ERPScan.

    Как утверждает Алексей Тюрин (один из экспертов в ERPScan), самой критической уязвимостью является некорректная генерация токенов для входа. Специалист разработал сценарий, который выполняет на токен брутфорс-атаку и генерирует новые файлы cookie, после чего удачно воспользовался им в процессе пентестинга систем PeopleSoft.

    Тысячи пользовательских данных могут быть похищены из-за уязвимостей в OraclePeopleSoft

    Многие крупные предприятия пользуются данной платформой для управления разными ресурсами организации, включая такие персональные данные, как информацию о платежных картах и номера социального страхования.

    Хакеры могут проводить кибератаку TokenChpoken для того чтобы получить доступ к любой учетной записи в системе. В результате этого злоумышленники имеют полный доступ к системе PeopleSoft. Из 549 серверов, доступных через Всемирную Сеть, 249 предприятий принадлежат коммерческим компаниям (169 расположены в Соединенных Штатах), 64 относятся к государственным и военным учреждениям, остальные – университетам. Отметим, что в числе университетов, в которых были выявлены уязвимости, находится и Гарвард, на систему которого не так давно было совершено нападение. В результате этого были скомпрометированы пароли e-mail ряда сотрудников, преподавателей и студентов из многочисленных подразделений.