Na stronie internetowej związanej z rozpoczętą niedawno przez PZU akcją prewencyjną "Bezpieczne wakacje" można zagrać w prostą grę (zobacz: www.bezpiecznewakacje.pzu.pl/gra_pzu/). Gra pokazuje, co każdy kierowca powinien zrobić przed wyruszeniem w trasę.
Kilka dni temu w tabeli wyników gry pojawili się "gracze" o nickach: "Jeszcze tańsze OC w Link4" oraz "Link4 = najtaniej". Sprawę szybko zauważyli i nagłośnili internauci w serwisie wykop.pl - zobacz przesłaną "tabelę wyników".
PZU zabezpieczyło swój serwis internetowy gorzej niż uczniowie przygotowujący wizytówkę swojej szkoły. |
|
|
Okazało się też, że poza elementem humorystycznym - a być może też prawnym i etycznym, gdyby okazało się, że akcja była w jakikolwiek sposób inspirowana przez
Link4 - cała sprawa ma jeszcze jeden poważny aspekt. Przede wszystkim bowiem PZU nie zabezpieczyło odpowiednio swojego systemu. Poprzez odpowiednio spreparowany link, z poziomu zwykłej przeglądarki internetowej i bez żadnych dodatkowych "hackerskich" narzędzi, czy nawet specjalistycznej wiedzy można było do tabeli wyników wpisać dowolnego "gracza"... nawet nie grając w grę. PZU zareagowało po kilkunastu godzinach wyłączając w grze możliwość oglądania wyników innych graczy.
Należy przypuszczać, że serwis "Bezpiecznych wakacji" nie jest połączony z wewnętrznymi systemami PZU i wykorzystanie prostej luki nie może prowadzić do poważnych zagrożeń bezpieczeństwa. Jednak prosty błąd osób przygotowujących stronę fatalnie świadczy o poziomie kadry oraz dostawców IT największego polskiego ubezpieczyciela.
MaB
Zobacz firmy: Link4, PZU, wykop.pl
Artykuł: <<< 2008-08-08 >>>