Хакеры могут взломать сайт олимпиад МИФИ за несколько секунд

Дата: 18.01.2021. Автор: Артем П. Категории: Новости по информационной безопасности

На сайте org.mephi.ru, который используется для проведения олимпиад МИФИ, найдены критические уязвимости, позволяющие заинтересованным лицам заранее получить подготовленные задания, доступ к сессиям, к персональным данным участников, изменить ответы и выполнить множество других действий.

В МИФИ сразу после обнаружения проблем решили закрыть сайт, чтобы устранить найденные ошибки и другие недостатки в системе. Из-за ограничений, связанных с коронавирусной инфекцией, в 2021 году физико-математическую олимпиаду школьников в МИФИ решили провести онлайн. Успешное участие в ней позволяет старшеклассникам без вступительных экзаменов поступить в университет.

На официальном сайте, который используется для проведения олимпиад МИФИ, было обнаружено сразу несколько критических уязвимостей внедрения SQL-кода и межсайтового скриптинга (XSS). Использование эксплойта позволяет хакерами поменять результаты и получить доступ к конфиденциальной информации буквально за несколько секунд.

Эксперты по информационной безопасности отмечают, что наличие таких уязвимостей позволяет провести успешную кибератаку на сайт org.mephi.ru за несколько секунд – хакеру нужно только поменять три символа в коде, что позволит получить доступ к личной информации участников, к заготовленным заданиям.

Служба информационной безопасности МИФИ уже получила всю необходимую информацию об обнаруженных уязвимостях. В вузе следующим образом прокомментировали проблему: «Профильные службы университета оперативно отреагировали на сообщения об обнаружении уязвимостей. Сайт был временно закрыт, чтобы выполнить все необходимые исправления».

Алексей Дрозд, руководитель департамента информационной безопасности компании SearchInform, отметил: «При создании сайтов и мобильных приложений вопросы безопасности, к сожалению, зачастую отходят на второй план, потому что заказчиков интересует внешний вид и функциональность решений, за которые они платят. Конечно, сейчас нет никакого смысла массового эксплуатировать найденные уязвимости на сайте МИФИ, поэтому университет из-за этого инцидента безопасности понесет только имиджевые потери».

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Поделиться ссылкой

Артем П

Об авторе Артем П

Автор на портале cisoclub.ru. Добавляйте ваш материал на сайт в разделе "Разместить публикацию".
Читать все записи автора Артем П

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *