CCAvenue.com adalah Commerce Service Provider, resmi sebagai Merchant Master, oleh lembaga keuangan India, untuk menunjuk Sub Pedagang, untuk menerima dan memvalidasi pembayaran internet melalui Kartu Kredit, dan fasilitas perbankan bersih dari pelanggan akhir-secara real-time. Its salah satu payment gateway terkemuka Asia Tenggara. Hari ini, CCAvenue.com mendapat hack oleh seorang hacker dengan kode nama d3hydr8 dengan memanfaatkan kerentanan SQL injection di website. Database diidentifikasi sebagai MSSQL. Menyimpan password dalam teks biasa dalam database adalah strategi yang buruk diikuti oleh CCAvenue.
Vishwas Patel, CEO CCAvenue, jawab pada insiden menyebutnya sebagai fitnah nakal terhadap nama mereka dalam sebuah wawancara untuk Medianama. Hacker itu diungkapkan versi Apache dari server situs yang akan Apache/2.2.14 dalam pengungkapan tentang seclist. Sedangkan Patel menambahkan bahwa versi server telah diupdate dari 2.2.14 ke 2.2.17 5 bulan kembali. A screen shot Netcraft di bawah menunjukkan bahwa upgrade ke Apache 2.2.17 untuk CCAvenue berlangsung hari ini:
"Ada jelas kenakalan beberapa tempat, yang kita sedang menyelidiki. Apapun yang disimpan dalam database kami adalah dalam format terenkripsi, tidak dalam format teks. Ini bukan dari skema database yang nyata hidup, dan kami sedang menyelidiki dan memberi Anda banyak lagi (informasi). Kami tidak memiliki skema database yang sama "ia menambahkan. Alih-alih bersembunyi celah keamanan di situs, yang lebih baik mereka harus belajar sesuatu dari pelanggaran ini data sehingga di masa depan mereka tidak harus datang dengan alasan tersebut. Penyelidikan harus dilakukan terhadap masalah ini. Insiden ini telah dilaporkan kepada CERT India untuk membantu CCAvenue mengambil langkah-langkah yang tepat untuk mengamankan database mereka sebelum jadi kebocoran di tempat terbuka
Tidak ada komentar:
Posting Komentar