Acerju izmaknili osebne podatke o 40.000 strankah

The Register - Naslednje v vrsti podjetij, kamor so vdrli hekerji in pridobili osebne podatke strank, je Acer. V petek so na The Hacker News objavili posnetke, ki dokazujejo, da je hekerska skupina Pakistan Cyber Army (PCA) pridobila podatke o približno 40.000 Acerjevih strankah iz evropskih držav. Zbrani podatki vključujejo imena, elektronske naslove, domače naslove in telefonske številke. Poleg tega so pridobili dostop do izvorne kode v ASP za izvajanje strani in Acerjevega FTP-strežnika.

Prav slednji je srž vdora, ki mu po včeraj razkritih podatkih komajda lahko rečemo tako. Izkazalo se je, da je Acer leta 2008 nepremišljeno na svojih forumih objavil podatke za dostop do njihovih FTP-strežnikov, da so si uporabniki lahko prenesli popravek. Napadalci so ta vnos našli in uporabili uporabniško ime in geslo za dostop do FTP-strežnika. Acer je imel na tem poljavnem strežniku datoteko Country Wise Customer Data.zip, v kateri so bile Excelove preglednice s podatki o strankah. Objava uporabniškega imena in gesla za dostop do nejavnega FTP-ja je nelogična kršitev dobre varnostne prakse, medtem ko je shranjevanje občutljivih podatkov na javnih FTP-strežnikih malomarnost brez primere. Kako so napadalci pridobili tudi ASP-jevo izvorno kodo strani, niso pojasnili.

Acer komentarjev ne daje. PCA se je v javnosti prvikrat pojavil lani decembra, ko so prevzeli odgovornost za razobličenje 270 strani indijskih podjetij, izobraževalnih institucij in vladnih agencij.