Di situs org.mephi.ru, yang digunakan untuk Olimpiade Mepi, kerentanan kritis telah ditemukan, memungkinkan pihak yang berkepentingan untuk mendapatkan tugas yang disiapkan di muka, akses ke sesi, dengan data pribadi peserta, mengubah jawaban dan membuat banyak aksi lainnya.
Dalam mitos segera setelah menemukan masalah, kami memutuskan untuk menutup situs untuk menghilangkan kesalahan yang ditemukan dan kekurangan lainnya dalam sistem. Karena keterbatasan yang terkait dengan infeksi Coronavirus, pada tahun 2021, Olimpiade Physico-Mathematical Schoolchildren di MIII memutuskan untuk menghabiskan online. Partisipasi yang sukses di dalamnya memungkinkan siswa sekolah menengah tanpa ujian masuk untuk memasuki universitas.
Di situs web resmi, yang digunakan untuk melakukan Olympiad MEH, beberapa kerentanan kritis dari kode SQL dan scripting lintas situs (XSS) ditemukan sekaligus. Menggunakan eksploitasi memungkinkan peretas untuk mengubah hasil dan mengakses informasi rahasia secara harfiah dalam beberapa detik.
Pakar keamanan informasi mencatat bahwa keberadaan kerentanan semacam itu memungkinkan Anda untuk menghabiskan cyberatak yang sukses ke situs org.mephi.ru selama beberapa detik - Hakra hanya perlu mengubah tiga karakter dalam kode, yang akan memungkinkan akses ke informasi pribadi para peserta, untuk tugas yang disiapkan.
Layanan keamanan informasi MEPI telah menerima semua informasi yang diperlukan tentang kerentanan yang terdeteksi. Universitas mengikuti masalah sebagai berikut: "Layanan Profil Universitas segera menanggapi laporan kerentanan. Situs ini ditutup sementara untuk memenuhi semua koreksi yang diperlukan. "
Alexey Drozd, kepala departemen keamanan informasi SearchInform, mengatakan: "Ketika membuat situs web dan aplikasi seluler, masalah keamanan, sayangnya, sering bergerak ke latar belakang, karena pelanggan tertarik pada penampilan dan fungsionalitas solusi yang mereka bayar. Tentu saja, sekarang tidak ada gunanya mengeksploitasi massa yang menemukan kerentanan di situs web Mephi, jadi universitas karena insiden keamanan ini hanya akan menderita kerugian gambar. "
Bahan yang lebih menarik di cisoclub.ru. Berlangganan AS: Facebook | VK | Twitter | Instagram | Telegram | Zen | Messenger | ICQ Baru | YouTube | Nadi.