e-Inspektorat ZUS niezabezpieczony
kg 18-01-2007, 23:25
Internetowy serwis obsługi klientów ZUS zawiera błędy krytyczne, które umożliwiają przejęcie danych oraz zaszyfrowanych haseł (haszy) użytkowników tego serwisu - poinformowali Dziennik Internautów przedstawiciele serwisu United Crew.
Pełny dostęp do bazy danych serwisu e-Inspektorat ZUS można uzyskać wykorzystując technikę ataku sql injection - twierdzi Wojass z United Crew, który odkrył lukę i udokumentował swoje dokonanie na przykładowym zrzucie z ekranu.
Baza danych, do której dostęp uzyskał Wojass zawierała, oprócz loginów i haszy haseł, również dane personalne z adresem domowym, funkcją, numerem telefonu.
Wojass w celach testowych zdekodował kilka haszy, dzięki czemu udało mu się zalogować na konta wybranych użytkowników serwisu ZUS-u. Po zalogowaniu się miał prawa dostępu do wszystkich usług dostępnych dla danego użytkownika.
Jak twierdzi serwis United Crew, atak może przeprowadzić właściwie każdy użytkownik internetu bez specjalnych programów czy narzędzi, za pomocą dowolnej, współczesnej przeglądarki internetowej.
Znalazca luk powiadomił kilka dni temu administratora serwera ZUS-u o błędach w zabezpieczeniach. Szczegóły sprawy znajdziecie na stronie:
Baza danych, do której dostęp uzyskał Wojass zawierała, oprócz loginów i haszy haseł, również dane personalne z adresem domowym, funkcją, numerem telefonu.
Wojass w celach testowych zdekodował kilka haszy, dzięki czemu udało mu się zalogować na konta wybranych użytkowników serwisu ZUS-u. Po zalogowaniu się miał prawa dostępu do wszystkich usług dostępnych dla danego użytkownika.
Jak twierdzi serwis United Crew, atak może przeprowadzić właściwie każdy użytkownik internetu bez specjalnych programów czy narzędzi, za pomocą dowolnej, współczesnej przeglądarki internetowej.
Znalazca luk powiadomił kilka dni temu administratora serwera ZUS-u o błędach w zabezpieczeniach. Szczegóły sprawy znajdziecie na stronie:
Aktualności
|
Porady
|
Gościnnie
|
Katalog
Bukmacherzy
|
Sprawdź auto
|
Praca
Artykuł może w treści zawierać linki partnerów biznesowych
i afiliacyjne, dzięki którym serwis dostarcza darmowe treści.
*
Więcej w tym temacie:
- Prawie 3 miliony samochodów narażonych na cyberatak
- 12 godzin – tyle wystarczy, by złamać niemal każdy system informatyczny
- Firefox ma za słabe zabezpieczenia, by hakować go na Pwn2Own. Poważny błąd w Adobe Creative Cloud. Przegląd cyberbezpieczeństwa - 15.02.2016
- Specyficzne podejście polskich sądów do hackingu. Gmail informuje o braku szyfrowania po stronie adresata. Przegląd cyberbezpieczeństwa - 11.02.2016
« strona główna - do góry ^
Stopka
Publikacje
Nasze serwisy
Polecamy
© 1998-2024 Dziennik Internautów Sp. z o.o. Wszelkie prawa zastrzeżone.