СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Новости
Артем
18.01.2021
#ИБ

Хакеры могут взломать сайт олимпиад МИФИ за несколько секунд

Хакеры могут взломать сайт олимпиад МИФИ за несколько секунд

На сайте org.mephi.ru, который используется для проведения олимпиад МИФИ, найдены критические уязвимости, позволяющие заинтересованным лицам заранее получить подготовленные задания, доступ к сессиям, к персональным данным участников, изменить ответы и выполнить множество других действий.

В МИФИ сразу после обнаружения проблем решили закрыть сайт, чтобы устранить найденные ошибки и другие недостатки в системе. Из-за ограничений, связанных с коронавирусной инфекцией, в 2021 году физико-математическую олимпиаду школьников в МИФИ решили провести онлайн. Успешное участие в ней позволяет старшеклассникам без вступительных экзаменов поступить в университет.

На официальном сайте, который используется для проведения олимпиад МИФИ, было обнаружено сразу несколько критических уязвимостей внедрения SQL-кода и межсайтового скриптинга (XSS). Использование эксплойта позволяет хакерами поменять результаты и получить доступ к конфиденциальной информации буквально за несколько секунд.

Эксперты по информационной безопасности отмечают, что наличие таких уязвимостей позволяет провести успешную кибератаку на сайт org.mephi.ru за несколько секунд – хакеру нужно только поменять три символа в коде, что позволит получить доступ к личной информации участников, к заготовленным заданиям.

Служба информационной безопасности МИФИ уже получила всю необходимую информацию об обнаруженных уязвимостях. В вузе следующим образом прокомментировали проблему: «Профильные службы университета оперативно отреагировали на сообщения об обнаружении уязвимостей. Сайт был временно закрыт, чтобы выполнить все необходимые исправления».

Алексей Дрозд, руководитель департамента информационной безопасности компании SearchInform, отметил: «При создании сайтов и мобильных приложений вопросы безопасности, к сожалению, зачастую отходят на второй план, потому что заказчиков интересует внешний вид и функциональность решений, за которые они платят. Конечно, сейчас нет никакого смысла массового эксплуатировать найденные уязвимости на сайте МИФИ, поэтому университет из-за этого инцидента безопасности понесет только имиджевые потери».

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: