Мир: Из-за брешей в системах Oracle PeopleSoft могут быть похищены тысячи пользовательских данных

1

ИБ-эксперты предупреждают, что уязвимости в системах Oracle PeopleSoft могут стать причинной утечки персональных данных в бизнес-компаниях, государственных организациях и университетах. Исследователи из ERPScan определили 549 систем Oracle PeopleSoft, доступ к которым можно получить через интернет. 231 из них уязвима к кибератакам типа TokenChpoken, которую эксперты ERPScan продемонстрировали в этом году.


По словам ИБ-эксперта из ERPScan Алексея Тюрина, самая критическая уязвимость кроется в некорректной генерации токенов для единого входа в систему. Исследователь создал сценарий, выполняющий брутфорс-атаку на токен и генерирующий новые cookie-файлы, и с успехом использовал его в ходе пентестинга систем PeopleSoft.

Технический директор ERPScan Александр Поляков рассказал изданию SCMagazine о том, что многие крупные мировые компании используют платформу Oracle PeopleSoft для управления различными ресурсами организации, включая такую личную информацию, как номера социального страхования и данные платежных карт.

Согласно информации ERPScan, кибератака TokenChpoken может быть осуществлена злоумышленниками для получения доступа к любой учетной записи в Oracle PeopleSoft, в результате чего в руках преступников оказывается полный доступ к системе PeopleSoft.

Из 549 систем Oracle PeopleSoft, доступных через интернет, 249 серверов принадлежат коммерческим предприятиям (169 компаний находятся в США), 64 сервера относятся к военным и государственным учреждением, а остальные 236 – университетам. Около 80 университетов используют систему Oracle PeopleSoft, которая уязвима к атаке TokenChpoken.

Стоит отметить, что в числе “уязвимых” университетов находится Гарвард, на компьютерную систему которого недавно была совершена кибератака. В результате нападения были скомпрометированы пароли электронной почты некоторых преподавателей, сотрудников и студентов (имена не уточняются) из многочисленных учебных подразделений. Поляков отметил, что системы Oracle PeopleSoft являются сложными, и им недостаточно простого обновления. (Oracle/NovostIT)