[Αποκλειστικό] Detectar fraquezas na Universidade Aberta leva à extração de informações.

Um hacker desconhecido com o pseudônimo “ginzo” encontrou uma fraqueza no SQL Injection no site principal da Open University. Segundo informações obtidas pela equipe editorial da SecNews de uma fonte desconhecida, o “ginzo”, usando a fraqueza que ele identificou, extraiu dados importantes da Universidade, que agora estão em sua posse. De fato, a mensagem enfatiza que “Estas são apenas algumas das coisas que existem há muito tempo, mas já faz muito tempo.” A fraqueza identificada pelo “ginzo” <…>

permitiu extrair a estrutura completa do banco de dados do site, bem como dados completos. Você pode ver parte da estrutura base abaixo, enquanto detalhes completos da estrutura podem ser vistos aqui, assim como fomos notificados pelo desconhecido:

Elementos importantes da estrutura do banco de dados, como podemos ver na captura de tela acima, são que o Hacker parece ter acesso a dados como cartões, informações pessoais e informações do aluno de 2005 a 2006, dados da Secretaria da Universidade e senhas. administradores do site, bem como acesso ao banco de dados diplomático da escola. As conclusões acima emergem do vazamento da estrutura de base, conforme notificado a nós.

É importante observar que a Hellenic Open University investiu em Segurança Eletrônica de Dados, pois há um alto volume de intercâmbio de dados entre alunos e professores. Ele usa amplamente o ID da Universidade Eletrônica (cartão inteligente), que é muito semelhante no exterior ao conhecido cartão de crédito, mas internamente difere significativamente dele. Ele armazena o certificado digital do usuário, que permite assinar e criptografar digitalmente, que pode ser usado em serviços de segurança como certificação, integridade de dados e confidencialidade. Para isso, o cartão inteligente incorpora um microprocessador, localizado sob um contato, adaptado para um lado. A Identidade Eletrônica da Universidade é o núcleo da segurança dos sistemas de informação EAP e é a chave para certificar a confidencialidade das transações. O serviço acima é totalmente suportado pela Infra-estrutura de Chave Pública que foi implementada na Open University.

O SecNews não divulgou a vulnerabilidade (ou vulnerabilidades) usada para esse acesso. Também não está claro exatamente quais dados o “ginzo” extraiu e se o acesso aos bancos de dados tem o potencial de alterar a pontuação ou os dados dos alunos. Os administradores de rede da universidade e os administradores devem considerar imediatamente a importância da vulnerabilidade, bem como se os sistemas internos da universidade foram afetados pelo ataque do hacker ou se ocorreu a deterioração dos dados. Fique atento ao SecNews para novidades.

A SecNews agradece “ginzo” pelas informações oportunas e válidas.