Equifax nem frissítette időben az Apache Struts keretrendszerben talált kritikus hibát (CVE20175638), így támadók hozzáférést nyertek belső adatbázisokhoz, és több mint 145 millió ember személyes adata szivárgott ki. Wikipedia
Egy kritikus naplózási komponens (Log4j) hibáján keresztül távoli kódvégrehajtás volt lehetséges: támadók tetszőleges kódot futtathattak kiszolgálókon. Sok szervezet került veszélybe, számos webalkalmazás is. Wikipédia
Több mint 38 millió rekord került nyilvánosságra, mert a Power Apps portál API-ja alapértelmezetten nyilvános hozzáférést engedett, ha a fejlesztő nem állította át privátra. WIRED
Az app egyik rendszerében felhasználói fotók (szelfik, személyazonosító dokumentumok), illetve privát üzenetek kompromittálódtak. Az incidens miatt az üzenetküldő rendszert ideiglenesen leállították. AP News+ 1
Egy LFI sebezhetőséget kihasználva támadók hozzáfértek AWS S3 tárolókban lévő belső fájlokhoz, például forráskódhoz vagy kiadatlan terméktervekhez. ApolloSec
Az online választási rendszer biztonsági hibáit független kutatók feltárták: például harmadik fél által szolgáltatott analitika komponens sérülékenysége révén egyes szavazatok integritása és anonimitása veszélybe került
Magyar vonatkozású példák
1. Magyar Posta – Adatszivárgás (2021)
A Magyar Posta egyik online szolgáltatásán keresztül több ezer felhasználó adatai (név, cím, telefonszám) kerültek nyilvánosságra. A szivárgás oka egy nem megfelelően konfigurált rendszer volt, amely az adatokhoz való hozzáférést egyszerűsítette egy nem megfelelő autentikációs mechanizmus révén. A hiba azonnali javítást igényelt.
Forrás: Index
2. Túra.hu – SQL Injection (2018)
A Túra.hu népszerű weboldalán egy SQL injekciós támadás lehetősége miatt adatok kerültek ki, például felhasználói azonosítók, email címek és jelszavak. Az alkalmazásba való belépés után a támadók hozzáfértek az adatbázishoz, ami miatt több ezer felhasználó személyes adatainak biztonsága vált kérdésessé.
Forrás: Hvg.hu
3. OTP Bank – Phishing kampány (2020)
Az OTP Bank egyik hivatalos weboldalához hasonló, de hamisított verziót hoztak létre, amely a bank ügyfeleit célozta meg. Az ügyfelek bejelentkeztek a weboldalon, és személyes adataikat (felhasználónév, jelszó, OTP kód) adták meg, amelyeket később elloptak. Bár ez nem feltétlenül webalkalmazás-biztonsági hiba, de egy jól célzott social engineering támadás volt.
Forrás: Portfolio
4. E.ON
Az E.ON magyarországi weboldalán egy biztonsági hiba miatt az érzékeny felhasználói adatok (pl. számlainformációk) HTTPS helyett sima HTTP protokollal kerültek továbbításra. Így a felhasználók adatai kiszolgáltatottá váltak a hálózaton történő lehallgatásra. A probléma után a vállalat gyorsan frissítette a protokollt.
Forrás: 24.hu
5. MOL We
A MOL weboldalának egy API-jában felfedeztek egy sérülékenységet, amely lehetővé tette a támadók számára, hogy hozzáférjenek a felhasználók helyadataihoz és üzemanyagtöltő kártya információihoz. A hiba kihasználása révén személyes adatok kerültek kompromittálásra.
Forrás: TechRadar
Az ilyen esetek mutatják, mennyire fontos a webalkalmazások megfelelő biztonsági karbantartása, a rendszeres auditok és a felhasználók adatainak védelme. Az érzékeny információk kezelésénél minden részletre figyelni kell, és biztosítani kell, hogy a biztonsági protokollok, mint a HTTPS, mindig megfelelően be legyenek állítva.