Хакеры могут взломать сайт олимпиад МИФИ за несколько секунд

Дата: 18.01.2021. Автор: Артем П. Категории: Новости по информационной безопасности
Хакеры могут взломать сайт олимпиад МИФИ за несколько секунд

На сайте org.mephi.ru, который используется для проведения олимпиад МИФИ, найдены критические уязвимости, позволяющие заинтересованным лицам заранее получить подготовленные задания, доступ к сессиям, к персональным данным участников, изменить ответы и выполнить множество других действий.

В МИФИ сразу после обнаружения проблем решили закрыть сайт, чтобы устранить найденные ошибки и другие недостатки в системе. Из-за ограничений, связанных с коронавирусной инфекцией, в 2021 году физико-математическую олимпиаду школьников в МИФИ решили провести онлайн. Успешное участие в ней позволяет старшеклассникам без вступительных экзаменов поступить в университет.

На официальном сайте, который используется для проведения олимпиад МИФИ, было обнаружено сразу несколько критических уязвимостей внедрения SQL-кода и межсайтового скриптинга (XSS). Использование эксплойта позволяет хакерами поменять результаты и получить доступ к конфиденциальной информации буквально за несколько секунд.

Эксперты по информационной безопасности отмечают, что наличие таких уязвимостей позволяет провести успешную кибератаку на сайт org.mephi.ru за несколько секунд – хакеру нужно только поменять три символа в коде, что позволит получить доступ к личной информации участников, к заготовленным заданиям.

Служба информационной безопасности МИФИ уже получила всю необходимую информацию об обнаруженных уязвимостях. В вузе следующим образом прокомментировали проблему: «Профильные службы университета оперативно отреагировали на сообщения об обнаружении уязвимостей. Сайт был временно закрыт, чтобы выполнить все необходимые исправления».

Алексей Дрозд, руководитель департамента информационной безопасности компании SearchInform, отметил: «При создании сайтов и мобильных приложений вопросы безопасности, к сожалению, зачастую отходят на второй план, потому что заказчиков интересует внешний вид и функциональность решений, за которые они платят. Конечно, сейчас нет никакого смысла массового эксплуатировать найденные уязвимости на сайте МИФИ, поэтому университет из-за этого инцидента безопасности понесет только имиджевые потери».

Артем П

Об авторе Артем П

Автор на портале cisoclub.ru. Добавляйте ваш материал на сайт в разделе "Разместить публикацию".
Читать все записи автора Артем П

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *