Στο site org.mephi.ru, το οποίο χρησιμοποιείται για την Olympiad Mepi, έχουν βρεθεί κρίσιμα τρωτά σημεία, επιτρέποντας στα ενδιαφερόμενα μέρη να προετοιμαστούν εκ των προτέρων, την πρόσβαση σε συνεδρίες, στα προσωπικά δεδομένα των συμμετεχόντων, αλλάζουν τις απαντήσεις και να κάνουν πολλά άλλες ενέργειες.
Στη μύθο αμέσως μετά την εύρεση προβλημάτων, αποφασίσαμε να κλείσουμε το site για να εξαλείψει τα σφάλματα που βρέθηκαν και άλλες ατέλειες στο σύστημα. Λόγω των περιορισμών που σχετίζονται με τη λοίμωξη του CoronaVirus, το 2021, η φυσικο-μαθηματική ολυμπιά των μαθητών στο MIII αποφάσισε να δαπανήσει στο διαδίκτυο. Η επιτυχής συμμετοχή σε αυτό επιτρέπει στους μαθητές γυμνασίου χωρίς εισαγωγικές εξετάσεις εισόδου να εισέλθουν στο πανεπιστήμιο.
Στην επίσημη ιστοσελίδα, η οποία χρησιμοποιείται για τη διεξαγωγή του MEPH OLYMPIAD, εντοπίστηκαν ταυτόχρονα αρκετές κρίσιμες ευπάθειες του SQL Code και Scripting Cross-site (XSS). Η χρήση της εκμετάλλευσης επιτρέπει στους χάκερ να αλλάξουν τα αποτελέσματα και να έχουν πρόσβαση σε εμπιστευτικές πληροφορίες κυριολεκτικά σε λίγα δευτερόλεπτα.
Οι εμπειρογνώμονες ασφάλειας πληροφοριών σημειώνουν ότι η παρουσία τέτοιων ευπάθειας σάς επιτρέπει να περάσετε ένα επιτυχημένο cyberatak στο site org.mephi.ru για μερικά δευτερόλεπτα - η HAKRA χρειάζεται μόνο να αλλάξει τρεις χαρακτήρες στον κώδικα, το οποίο θα επιτρέψει την πρόσβαση στις προσωπικές πληροφορίες του τους συμμετέχοντες, στα προετοιμασμένα καθήκοντα.
Η υπηρεσία ασφάλειας πληροφοριών του MEPI έχει ήδη λάβει όλες τις απαραίτητες πληροφορίες σχετικά με τις εντοπισμένες ευπάθειες. Το Πανεπιστήμιο ακολούθησε το πρόβλημα ως εξής: "Οι υπηρεσίες προφίλ του Πανεπιστημίου απάντησαν αμέσως σε αναφορές ευκαιριών. Ο χώρος έκλεισε προσωρινά για την εκπλήρωση όλων των απαραίτητων διορθώσεων. "
Ο Alexey Drozd, επικεφαλής του τμήματος ασφάλειας των πληροφοριών του searchinform, δήλωσε: "Κατά τη δημιουργία ιστοσελίδων και κινητών εφαρμογών, τα θέματα ασφάλειας, δυστυχώς, συχνά μετακινούνται στο παρασκήνιο, επειδή οι πελάτες ενδιαφέρονται για την εμφάνιση και τη λειτουργικότητα των λύσεων για τις οποίες πληρώνουν. Φυσικά, τώρα δεν υπάρχει σημείο στη μαζική εκμετάλλευση που βρέθηκαν ευπάθειες στο δικτυακό τόπο του Mephi, οπότε το πανεπιστήμιο λόγω αυτού του περιστατικού ασφαλείας θα υποφέρει μόνο απώλειες εικόνας. "
Πιο ενδιαφέρον υλικό στο cisoclub.ru. Εγγραφείτε σε εμάς: Facebook | Vk | Twitter | Instagram | Τηλεγράφημα | Zen | Αγγελιοφόρος | Icq νέα | YouTube | Σφυγμός.