Kilka amerykańskich firm prowadzących działalność handlu elektronicznego padło ofiarami włamywaczy, którzy wykradli im kilka tysięcy numerów kart płatniczych ich klientów. Włamania dokonano wykorzystując lukę w oprogramowaniu Internet Information Server (IIS) Microsoftu, znaną od blisko dwóch lat.

Poprawka eliminująca błąd serwera internetowego dostępna jest na stronach producenta od ponad półtora roku. Jednak wiele małych firm, w których za utrzymanie systemów komputerowych odpowiedzialna jest jedna osoba, nie jest w stanie na bieżąco dokonywać uaktualnień oprogramowania na wszystkich komputerach.

Jedną z ofiar padła firma Promobility z Ontario, sprzedawca telefonów komórkowych, która na swoim serwerze przechowywała 50-70 tys. numerów kart kredytowych, w tym także należących do jego pracowników. Oprócz numerów kart zostały także skradzione pełne dane adresowe i numery telefonów ich właścicieli.

Haker, określający się jako Curador, włamał się i ukradł numery kart płatniczych z kilku stron WWW prowadzących działalność handlową, w tym SalesGate.com, Ltamedia.com, Feelgoodfalls.com i Shoppingthailand.com. Jest on już ścigany m.in. w Stanach Zjednoczonych, Kanadzie, Wielkiej Brytanii i w Tajlandii.

Przedstawiciele Microsoftu przypominają, że poprawkę usuwającą ten błąd udostępniono w lipcu 1998 r., a ostrzeżenie o zagrożeniu ponowiono w lipcu ub.r., kiedy okazało się, że niewiele osób ją zainstalowało.

Błąd znajduje się w obiekcie RDS DataFactory, jednym z komponentów Microsoft Data Access Components. W czasie gdy jest on zainstalowany w systemie, w którym działa IIS w wersji 3.0 lub 4.0, obiekt DataFactory może umożliwić osobie nieupoważnionej dokonywanie operacji zastrzeżonych dla administratora.

Więcej informacji na temat luki można znaleźć na stronie http://www.microsoft.com/security.