Wys�ano dnia 10-07-2008 o godz. 13:00:00 przez sergio 10981
 | Pięć minut zajęło kieleckiemu informatykowi wejście do komputerowej bazy danych Politechniki Radomskiej. Mogło to umożliwić przejęcie nad nią całkowitej kontroli oraz pozyskanie chronionych informacji. |
Iwo Graj jest informatykiem, zajmuje się między innymi bezpieczeństwem systemów operacyjnych. Na stronę internetową Politechniki Radomskiej wszedł niedawno, przy okazji rozmów ze znajomymi o takich właśnie zabezpieczeniach. Dotarcie do struktury bazy danych zajęło mu zaledwie pięć minut.
- Błędy na stronie głównej stwarzały możliwość przejęcia kontroli nad całą bazą danych użytkowników oraz systemem CMS Politechniki Radomskiej, czyli systemem zarządzania strony. Jednym z bardziej krytycznych modułów na stronie był moduł sms, dzięki któremu każdy student może dodać numer swojego telefonu, aby zostać powiadomionym o ważnych informacjach dotyczących uczelni. Gdyby atakujący przejął kontrolę nad CMS-em, miałby dostęp do wszystkich numerów telefonów, jak i e-maili studentów, którzy zarejestrowali się w systemie - stwierdził Iwo Graj.
On sam nie posunął się do tych kroków, wiedząc, że byłoby to niezgodne z prawem. O błędach zawiadomił natomiast Politechnikę. Jak twierdzi - zostały one już naprawione.
Michał Czyżewski, główny specjalista do spraw informatycznych w Politechnice Radomskiej, w rozmowie z nami potwierdził, że system rzeczywiście zawierał błędy. - Wystąpiły one po zmianie serwera. Nowy nie został odpowiednio skonfigurowany - tłumaczył. Na pytanie, ile osób mogło wykorzystać błędy, odparł: - Nie mamy informacji, by ktokolwiek to zrobił.
- Błędy na stronie głównej stwarzały możliwość przejęcia kontroli nad całą bazą danych użytkowników oraz systemem CMS Politechniki Radomskiej, czyli systemem zarządzania strony. Jednym z bardziej krytycznych modułów na stronie był moduł sms, dzięki któremu każdy student może dodać numer swojego telefonu, aby zostać powiadomionym o ważnych informacjach dotyczących uczelni. Gdyby atakujący przejął kontrolę nad CMS-em, miałby dostęp do wszystkich numerów telefonów, jak i e-maili studentów, którzy zarejestrowali się w systemie - stwierdził Iwo Graj.
On sam nie posunął się do tych kroków, wiedząc, że byłoby to niezgodne z prawem. O błędach zawiadomił natomiast Politechnikę. Jak twierdzi - zostały one już naprawione.
Michał Czyżewski, główny specjalista do spraw informatycznych w Politechnice Radomskiej, w rozmowie z nami potwierdził, że system rzeczywiście zawierał błędy. - Wystąpiły one po zmianie serwera. Nowy nie został odpowiednio skonfigurowany - tłumaczył. Na pytanie, ile osób mogło wykorzystać błędy, odparł: - Nie mamy informacji, by ktokolwiek to zrobił.
| Komentarze |