Εντοπισμός αδυναμίας στο Ανοικτό Πανεπιστήμιο οδηγεί σε άντληση πληροφοριών

17:11 4/11/2011 - Πηγή: Ksipnistere
Άγνωστος hacker με το ψευδώνυμο «ginzo» εντόπισε αδυναμία SQL Injection στην κεντρική ιστοσελίδα του Ανοικτού Πανεπιστημίου. Σύμφωνα με πληροφορία που έλαβε η συντακτική ομάδα του SecNews από άγνωστο, ο «ginzo» με χρήση της αδυναμίας που εντόπισε, άντλησε σημαντικά δεδομένα του Πανεπιστημίου, τα οποία πλέον βρίσκονται στην.....
κατοχή του. Μάλιστα στο μήνυμα τονίζεται ότι «είναι μερικά δείγματα από τα δεδομένα που έχει
στην κατοχή του, που τόσο καιρό όμως κρατούσε στην αφάνεια, αλλά ήρθε ο καιρός να φανούν επιτέλους μερικά πράγματα.». Η αδυναμία που εντοπίστηκε από τον «ginzo».

του επέτρεψε να αντλήσει την πλήρη δομή της βάσης δεδομένων της ιστοσελίδας, καθώς και πλήρη δεδομένα. Τμήμα της δομής της βάσης μπορείτε να δείτε παρακάτω, ενώ πλήρη στοιχεία της δομής, όπως ακριβώς μας κοινοποιήθηκαν από τον άγνωστο:

Σημαντικό στοιχεία από την δομή της βάσης, όπως διαπιστώνουμε από το παραπάνω Screenshot, είναι ότι ο Hacker φαίνεται να διαθέτει πρόσβαση σε στοιχεία όπως Κάρτες,προσωπικά στοιχεία και πληροφορίες των φοιτητών των ετών 2005,2006, δεδομένα της γραμματείας του Πανεπιστημίου, στοιχεία κωδικών πρόσβασης των διαχειριστών της ιστοσελίδας καθώς και πρόσβαση στην βάση δεδομένων των Διπλωματικών της σχολής. Τα ανωτέρω συμπεράσματα προκύπτουν από την διαρροή της δομής της βάσης, όπως μας κοινοποιήθηκε.
Είναι σημαντικό να αναφέρουμε ότι το Ελληνικό Ανοικτό Πανεπιστήμιο έχει επενδύσει στην Ηλεκτρονική Ασφάλεια των δεδομένων, μιας και υπάρχει υψηλός όγκος ανταλλαγής δεδομένων μεταξύ φοιτητών και καθηγητών. Χρησιμοποιεί ευρέως την Ηλεκτρονική Πανεπιστημιακή Ταυτότητα (smart card), η οποία μοιάζει πολύ εξωτερικά με τη γνωστή πιστωτική κάρτα, εσωτερικά όμως διαφέρει σημαντικά από αυτήν. Μέσα σε αυτήν αποθηκεύεται το ψηφιακό πιστοποιητικό του χρήστη, το οποίο του παρέχει την δυνατότητα για ψηφιακή υπογραφή και κρυπτογράφηση, οι οποίες μπορούν να χρησιμοποιηθούν σε υπηρεσίες ασφάλειας όπως πιστοποίηση, ακεραιότητα δεδομένων και εμπιστευτικότητα. Για να γίνει αυτό η έξυπνη κάρτα ενσωματώνει ένα μικροεπεξεργαστή, ο οποίος βρίσκεται κάτω από μια επαφή, προσαρμοσμένο στη μια πλευρά της. Η Ηλεκτρονική Πανεπιστημιακή Ταυτότητα αποτελεί τον πυρήνα για την ασφάλεια των πληροφοριακών συστημάτων του ΕΑΠ και είναι το κλειδί για την πιστοποίηση του απορρήτου των συναλλαγών. Η ανωτέρω υπηρεσία υποστηρίζεται πλήρως από Υποδομή Δημοσίου Κλειδιού που έχει υλοποιηθεί στο Ανοικτό Πανεπιστήμιο.
Στο SecNews δεν κοινοποιήθηκε η αδυναμία(ή αδυναμίες) που χρησιμοποιήθηκαν για την εν λόγω πρόσβαση. Δεν ξεκαθαρίζεται επίσης επακριβώς ποια είναι τα δεδομένα που άντλησε ο «ginzo» και αν στις βάσεις που διαθέτει πρόσβαση έχει δυνατότητα αλλοίωσης βαθμολογιών ή δεδομένων φοιτητών. Οι υπεύθυνοι δικτύου και διαχειριστές του Πανεπιστημίου πρέπει άμεσα να εξετάσουν την σημαντικότητα της αδυναμίας,καθώς και αν επηρεάστηκαν εσωτερικά συστήματα του Πανεπιστημίου από την επίθεση του hacker ή αν προχώρησε σε αλλοίωση στοιχείων. Παραμείνετε συντονι
Διαβάστε ολόκληρο το άρθρο >>
Keywords
ανοικτο πανεπιστημιο, εν λόγω, hacker, sql, injection, καιρος, ηλεκτρονική, smart, ΕΑΠ, βασεις, sql, ηλεκτρονική, ογκος, αγνωστος, αδυναμια, βρισκεται, γινει, δυνατοτητα, δειτε, δομη, υπαρχει, εν λόγω, ετων, υπηρεσια, υπηρεσιες, μπορειτε, ομαδα, πιστοποιηση, υπογραφη, ταυτοτητα, τμημα, ψηφιακη, ψηφιακο, αγνωστο, ασφαλεια, hacker, injection, μοιαζει, πληροφοριες
Τυχαία Θέματα
ψδ ρομ, ρυθμιση δανειων, μρ μπιν, νεκροταφειο ζωγραφου, υλοτομος
iNews > Blogs > Ksipnistere