Обнаружена уязвимость в БД Управления служб общего назначения США

15 марта 2013 года Управление служб общего назначения США (General Services Administration, GSA) опубликовало сообщение об уязвимости в своей регистрационной системе. Обнаруженная брешь может позволить пользователям, находящимся в системе, просматривать регистрационную информацию других пользователей.

База данных под названием System for Award Management (SAM) среди прочей информации содержит также такие регистрационные записи подрядчиков, как персональные и банковские данные, информацию о финансах компаний, а также коды, предоставляющие доступ к оценкам их производительности. Известно, что в настоящее время в SAM зарегистрировано около 600 тысяч компаний.

По словам экспертов, уязвимость подобного рода может быть вызвана вредоносными или случайными действиями. Стюарт не уточнила, была ли обнаруженная уязвимость результатом преднамеренной SQL-инъекции, случайностью, вызванной сбоем в управлении паролями или несвоевременным обновлением программного обеспечения. По словам представителя компании Secure Ideas Кевина Джонсона (Kevin Johnson), пока еще рано говорить что-либо наверняка, но вероятность того, что была осуществлена SQL-инъекция, весьма велика.

GSA обновило программное обеспечение, чтобы устранить уязвимость. Доказательств того, что данные каких-либо компаний были скомпрометированы, повреждены или использовались не по назначению, обнаружено не было.