На сайце org.mephi.ru, які выкарыстоўваецца для правядзення алімпіяд МІФІ, знойдзеныя крытычныя ўразлівасці, якія дазваляюць зацікаўленым асобам загадзя атрымаць падрыхтаваныя заданні, доступ да сесій, да персанальных дадзеных удзельнікаў, змяніць адказы і выканаць мноства іншых дзеянняў.
У МІФІ адразу пасля выяўлення праблем вырашылі закрыць сайт, каб ліквідаваць знойдзеныя памылкі і іншыя недахопы ў сістэме. З-за абмежаванняў, звязаных з коронавирусной інфекцыяй, ў 2021 годзе фізіка-матэматычную алімпіяду школьнікаў у МІФІ вырашылі правесці анлайн. Паспяховы ўдзел у ёй дазваляе старшакласнікам без уступных іспытаў паступіць ва ўніверсітэт.
На афіцыйным сайце, які выкарыстоўваецца для правядзення алімпіяд МІФІ, было выяўлена адразу некалькі крытычных уразлівасцяў ўкаранення SQL-кода і межсайтовый скріптінга (XSS). Выкарыстанне эксплойта дазваляе хакерамі памяняць вынікі і атрымаць доступ да канфідэнцыйнай інфармацыі літаральна за некалькі секунд.
Эксперты па інфармацыйнай бяспецы адзначаюць, што наяўнасць такіх уразлівасцяў дазваляе правесці паспяховую Кібератакі на сайты org.mephi.ru за некалькі секунд - хакеру трэба толькі памяняць тры сімвала ў кодзе, што дасць магчымасць атрымаць доступ да асабістай інфармацыі ўдзельнікаў, да нарыхтаваных заданнях.
Служба інфармацыйнай бяспекі МІФІ ўжо атрымала ўсю неабходную інфармацыю аб выяўленых уразлівасцях. У ВНУ наступным чынам пракаментавалі праблему: «Профільныя службы універсітэта аператыўна адрэагавалі на паведамленні аб выяўленні ўразлівасцяў. Сайт быў часова зачынены, каб выканаць усе неабходныя выпраўлення ».
Аляксей Дрозд, кіраўнік дэпартамента інфармацыйнай бяспекі кампаніі SearchInform, адзначыў: "Пры стварэнні сайтаў і мабільных прыкладанняў пытанні бяспекі, на жаль, часцяком адыходзяць на другі план, таму што заказчыкаў цікавіць знешні выгляд і функцыянальнасць рашэнняў, за якія яны плацяць. Вядома, цяпер няма ніякага сэнсу масавага эксплуатаваць знойдзеныя ўразлівасці на сайце МІФІ, таму універсітэт з-за гэтага інцыдэнту бяспекі панясе толькі іміджавыя страты ».
Больш цікавага матэрыялу на cisoclub.ru. Падпісвайцеся на нас: Facebook | VK | Twitter | Instagram | Telegram | дзэн | мессенджер | ICQ New | YouTube | Pulse.