事实证明,不检查企业网站上的身份验证程序可能会付出高昂的代价审议编号 SAN-2018-002CNIL 刚刚发布。眼镜供应商 Optical Centre 因违规被罚款 25 万欧元“客户数据不够安全”。此次制裁是在 2017 年 7 月 31 日进行的检查之后进行的。
事实上,只需访问该公司的网站并逐步改变 URL 中的参数即可访问数千张发票,包括姓氏、名字和邮政地址、眼科矫正、出生日期和社会安全号码。客户。访问这些本应受到特别保护的数据不需要特殊的技术知识。
在检查过程中,CNIL能够直接下载2085张发票样本。可访问文档的总数仍不清楚。根据光学中心提供的数据,委员会估计该网站的数据库包含“334,769 到 354,806 个文档”。
眼镜中心对这一评估提出异议,表示该网站仅提供与在线订单相关的文件的访问。但 CNIL 反驳说,该公司“没有提供任何证据支持这一论点”。
初学者的错误
这种安全缺陷可以用特别粗心的网络开发来解释。正如审议所指出的,当互联网用户尝试访问这些敏感文档时,该网站不会验证他是否以经过身份验证的方式进行连接。因此,这些数据对任何人开放。初学者的错误。
“多年来,未经事先访问控制的资源暴露已被确定为需要特殊监控的一对安全漏洞,因此必须接受验证,特别是在安全审计框架中”,强调了 CNIL。
该漏洞在该网站上存在多久了?再说一遍,我们并不确切知道。光学中心无法确定其出现日期。然而,该公司指出,允许客户文档可视化的代码可以追溯到 2016 年 12 月。因此,该缺陷在 2016 年 12 月至 2017 年 7 月期间可被利用。
