Stary błąd w serwerze internetowym Microsoftu umożliwił kradzież numerów kart płatniczych

Poprawka usuwająca błąd w IIS została udostępniona już w 1998 r., jednak - zdaniem ekspertów - małe firmy po prostu nie dokonują instalacji wszystkich uaktualnień oprogramowania.

Kilka amerykańskich firm prowadzących działalność handlu elektronicznego padło ofiarami włamywaczy, którzy wykradli im kilka tysięcy numerów kart płatniczych ich klientów. Włamania dokonano wykorzystując lukę w oprogramowaniu Internet Information Server (IIS) Microsoftu, znaną od blisko dwóch lat.

Poprawka eliminująca błąd serwera internetowego dostępna jest na stronach producenta od ponad półtora roku. Jednak wiele małych firm, w których za utrzymanie systemów komputerowych odpowiedzialna jest jedna osoba, nie jest w stanie na bieżąco dokonywać uaktualnień oprogramowania na wszystkich komputerach.

Jedną z ofiar padła firma Promobility z Ontario, sprzedawca telefonów komórkowych, która na swoim serwerze przechowywała 50-70 tys. numerów kart kredytowych, w tym także należących do jego pracowników. Oprócz numerów kart zostały także skradzione pełne dane adresowe i numery telefonów ich właścicieli.

Haker, określający się jako Curador, włamał się i ukradł numery kart płatniczych z kilku stron WWW prowadzących działalność handlową, w tym SalesGate.com, Ltamedia.com, Feelgoodfalls.com i Shoppingthailand.com. Jest on już ścigany m.in. w Stanach Zjednoczonych, Kanadzie, Wielkiej Brytanii i w Tajlandii.

Przedstawiciele Microsoftu przypominają, że poprawkę usuwającą ten błąd udostępniono w lipcu 1998 r., a ostrzeżenie o zagrożeniu ponowiono w lipcu ub.r., kiedy okazało się, że niewiele osób ją zainstalowało.

Błąd znajduje się w obiekcie RDS DataFactory, jednym z komponentów Microsoft Data Access Components. W czasie gdy jest on zainstalowany w systemie, w którym działa IIS w wersji 3.0 lub 4.0, obiekt DataFactory może umożliwić osobie nieupoważnionej dokonywanie operacji zastrzeżonych dla administratora.

Więcej informacji na temat luki można znaleźć na stronie http://www.microsoft.com/security.