事實證明,不檢查企業網站上的身份驗證程序可能會付出高昂的代價審議編號 SAN-2018-002CNIL 剛剛發布。眼鏡供應商 Optical Centre 因違規被罰款 25 萬歐元“客戶資料不夠安全”。此次製裁是在 2017 年 7 月 31 日進行的檢查之後進行的。
事實上,只需訪問該公司的網站並逐步更改 URL 中的參數即可訪問數千張發票,包括姓氏、姓名和郵政地址、眼科矯正、出生日期和社會安全號碼。存取這些本應受到特別保護的資料不需要特殊的技術知識。
檢查過程中,CNIL能夠直接下載2085張發票範本。可存取文件的總數仍不清楚。根據光學中心提供的數據,委員會估計該網站的資料庫包含“334,769 到 354,806 個文件”。
眼鏡中心對此評估提出異議,表示該網站僅提供與線上訂單相關的文件的存取。但 CNIL 反駁說,該公司“沒有提供任何證據支持這一論點”。
初學者的錯誤
這種安全缺陷可以用特別粗心的網路開發來解釋。正如審議所指出的,當網路使用者嘗試存取這些敏感文件時,該網站不會驗證他是否以經過身份驗證的方式進行連線。因此,這些數據對任何人開放。初學者的錯誤。
“多年來,未經事先訪問控制的資源暴露已被確定為需要特殊監控的一對安全漏洞,因此必須接受驗證,特別是在安全審計框架中”,強調了 CNIL。
該漏洞在該網站上存在多久了?再說一遍,我們並不確切知道。光學中心無法確定其出現日期。然而,該公司指出,允許客戶文件視覺化的程式碼可以追溯到 2016 年 12 月。
