Nie było ochrony

Pięć minut zajęło kieleckiemu informatykowi wejście do komputerowej bazy danych Politechniki Radomskiej. Mogło to umożliwić przejęcie nad nią całkowitej kontroli oraz pozyskanie chronionych informacji.



Iwo Graj jest informatykiem, zajmuje się między innymi bezpieczeństwem systemów operacyjnych. Na stronę internetową Politechniki Radomskiej wszedł niedawno, przy okazji rozmów ze znajomymi o takich właśnie zabezpieczeniach. Dotarcie do struktury bazy danych zajęło mu zaledwie pięć minut.

- Błędy na stronie głównej stwarzały możliwość przejęcia kontroli nad całą bazą danych użytkowników oraz systemem CMS Politechniki Radomskiej, czyli systemem zarządzania strony. Jednym z bardziej krytycznych modułów na stronie był moduł sms, dzięki któremu każdy student może dodać numer swojego telefonu, aby zostać powiadomionym o ważnych informacjach dotyczących uczelni. Gdyby atakujący przejął kontrolę nad CMS-em, miałby dostęp do wszystkich numerów telefonów, jak i e-maili studentów, którzy zarejestrowali się w systemie - stwierdził Iwo Graj.

On sam nie posunął się do tych kroków, wiedząc, że byłoby to niezgodne z prawem. O błędach zawiadomił natomiast Politechnikę. Jak twierdzi - zostały one już naprawione.

Michał Czyżewski, główny specjalista do spraw informatycznych w Politechnice Radomskiej, w rozmowie z nami potwierdził, że system rzeczywiście zawierał błędy. - Wystąpiły one po zmianie serwera. Nowy nie został odpowiednio skonfigurowany - tłumaczył. Na pytanie, ile osób mogło wykorzystać błędy, odparł: - Nie mamy informacji, by ktokolwiek to zrobił.




Data publikacji: 10-07-2008 o godz. 13:00:00, Temat: Internet

Artykuł pochodzi z serwisu Wici.Info http://www.wici.info
Link do artykułu: http://www.wici.info/News,nie_bylo_ochrony,10630,html