e-Inspektorat ZUS niezabezpieczony
Internetowy serwis obsługi klientów ZUS zawiera błędy krytyczne, które umożliwiają przejęcie danych oraz zaszyfrowanych haseł (haszy) użytkowników tego serwisu - poinformowali Dziennik Internautów przedstawiciele serwisu United Crew.
Pełny dostęp do bazy danych serwisu e-Inspektorat ZUS można uzyskać wykorzystując technikę ataku sql injection - twierdzi Wojass z United Crew, który odkrył lukę i udokumentował swoje dokonanie na przykładowym zrzucie z ekranu.
Baza danych, do której dostęp uzyskał Wojass zawierała, oprócz loginów i haszy haseł, również dane personalne z adresem domowym, funkcją, numerem telefonu.
Wojass w celach testowych zdekodował kilka haszy, dzięki czemu udało mu się zalogować na konta wybranych użytkowników serwisu ZUS-u. Po zalogowaniu się miał prawa dostępu do wszystkich usług dostępnych dla danego użytkownika.
Jak twierdzi serwis United Crew, atak może przeprowadzić właściwie każdy użytkownik internetu bez specjalnych programów czy narzędzi, za pomocą dowolnej, współczesnej przeglądarki internetowej.
Znalazca luk powiadomił kilka dni temu administratora serwera ZUS-u o błędach w zabezpieczeniach. Szczegóły sprawy znajdziecie na stronie: