Сообщения об уязвимости Cyberplat оказались необоснованными
Позавчера на форуме сайта SecurityLab.ru было оставлено сообщение, в котором описывались несколько дыр в сайте cyberplat.ru. В компании "КиберплатКом" корреспондента Runet.ru заверили в том, что никакой угрозы пользователям системы нет.
Как сообщает SecurityLab.ru (цитирует Runet.ru), "множество сценариев на сайте уязвимы к PHP injection, SQL injection, используют слабые пароли и позволяют удаленному пользователю получить неавторизованный доступ к защищенным Web страницам.
Описанные дыры настолько опасны, что могут использоваться для дефейса сайта, получения полного контроля над базой данных и сервером cyberplat. Как сообщает автор постинга, cyberplatу было сообщено об обнаруженных уязвимостях еще пару месяцев назад, но ни одна из обнаруженных уязвимостей не была закрыта. В качестве доказательства серьезности уязвимости, автор постинга выложил на сайт картинку с известным четверостишьем Олега Гальченко".
Вот как прокомментировал данное заявление об опасности для пользователей системы директор департамента информационных технологий ОАО "Cyberplat.Com" Сергей Чекин:
- База данных, о которой идет речь, используется только для отображения карты точек приема платежей сотовых операторов. Все данные, которые содержаться в базе, отображаются на карте.
Ничего конфиденциального, а тем более секретного там нет. Все, что в БД - то и на экране. На данном сервере содержатся только скрипты и данные для самого сайта компании "КиберплатКом" (как интернет представительства). Там нет никаких скриптов и данных, обеспечивающих функциональность Cyberplat, как платежной системы.
Из ответа г-на Чекина можно сделать вывод о том, что проблема с уязвимостью сайта все же существует, но она никак не скажется на функциональности самой системы.