Op die webwerf org.mephi.ru, wat vir die Olimpiade MEPI gebruik word, is kritiese kwesbaarhede gevind, sodat belanghebbende partye vooraf voorbereide take kan kry, toegang tot sessies, tot die persoonlike data van deelnemers, die antwoorde verander en baie maak ander aksies.
In die mite het ons dadelik na die vind van probleme, het ons besluit om die webwerf te sluit om die foute en ander foute in die stelsel uit te skakel. Weens die beperkings wat verband hou met Coronavirus-infeksie, het die fisies-wiskundige olympiade van skoolkinders in Miii in 2021 in Miii besluit om aanlyn te spandeer. Suksesvolle deelname daaraan kan hoërskoolstudente sonder toelatingseksamens die Universiteit invul.
Op die amptelike webwerf, wat gebruik word om die Mef Olimpiade te bedryf, is verskeie kritiese kwesbaarhede van die SQL-kode en kruis-scripting (XSS) gelyktydig gevind. Met behulp van die ontginning kan hackers die resultate verander en die vertroulike inligting letterlik oor 'n paar sekondes verander.
Inligtingsekuriteitskenners daarop let dat die teenwoordigheid van sulke kwesbaarhede u toelaat om 'n suksesvolle cyberatak aan die webwerf org.mephi.ru vir 'n paar sekondes te spandeer - Hakra moet slegs drie karakters in die kode verander, wat toegang tot die persoonlike inligting van die deelnemers, tot die voorbereide take.
Die inligtingsekuriteitsdiens van MEPI het reeds al die nodige inligting ontvang oor die kwesbaarhede wat opgespoor is. Die Universiteit het die probleem soos volg gevolg: "Universiteit se profieldienste het vinnig gereageer op verslae van kwesbaarhede. Die terrein is tydelik gesluit om al die nodige regstellings te vervul. "
Alexey Drozd, hoof van die Inligtingsekuriteit Departement van Searchinform, het gesê: "By die skep van webwerwe en mobiele toepassings, beweeg sekuriteitskwessies ongelukkig dikwels in die agtergrond, want kliënte is geïnteresseerd in die voorkoms en funksionaliteit van oplossings waarvoor hulle betaal. Natuurlik, nou is daar geen punt in massa-uitbuiting wat kwesbaarhede op die Mephi-webwerf gevind het nie, dus sal die Universiteit as gevolg van hierdie sekuriteitsvoorval slegs beeldverliese ly. "
Meer interessante materiaal op cisoclub.ru. Teken in op ons: Facebook | VK | Twitter | Instagram | Telegram | Zen | Messenger | ICQ NUUS | YouTube | Pols.