Kενό ασφαλείας στην ιστοσελίδα του ΕΦΚΑ

Δύο Έλληνες ερευνητές ο Δημήτρης Χατζηδημήτρης και ο Αναστάσης Βασιλειάδης κατάφεραν να εντοπίσουν ένα κενό ασφαλείας στην ιστοσελίδα του Ηλεκτρονικού Εθνικού Φορέα Κοινωνικής Ασφάλισης ΕΦΚΑ-(IKA), κάτι που τους επέτρεψε να πραγματοποιήσουν την τεχνική SQL injection και να αποκτήσουν πρόσβαση στη βάση δεδομένων του οργανισμού.

Σύμφωνα με τους Έλληνες ερευνητές, ο οργανισμός ειδοποιήθηκε έγκαιρα για το κενό ασφαλείας, αλλά μέχρι σήμερα, δεν έχει προβεί σε κάποια επιδιόρθωση.

Η ευπάθεια είναι τύπου SQL injection και η συγκεκριμένη αδυναμία:

Parameter: asf_year (POST)
Type: error-based
Title: Microsoft SQL Server/Sybase OR error-based – WHERE or HAVING clause (IN)

“Η συγκεκριμένη ευπάθεια μας έδωσε πρόσβαση στις βάσεις δεδομένων του Ηλεκτρονικού Εθνικού Φορέα Κοινωνικής Ασφάλισης ΕΦΚΑ”

“Μετά από αυτό δεν προχωρήσαμε παρακάτω σε μια ενδεχόμενη πρόσβαση στον server πέρα από τις βάσεις εφόσον είχαμε ήδη επιβεβαίωση την αδυναμία στην ασφάλεια της ιστοσελίδας.”

Παραθέτουμε ένα screenshoot από τις βάσης δεδομένων.

Available databases [7]:
[*] EFKA
[*] IKA
[*] IKAFAQ
[*] master
[*]
[*] msdb
[*] tempdb

Παρατηρούμε ότι στα tables εμπεριέχονται ευαίσθητα δεδομένα χρηστών όπως ονόματα και κωδικοί .

| IKA_USERS |
| IKA_USERS_2012 |
| IKA_USERS_FORBIDDEN |
| IKA_USERS_LOG |
| IKA_USERS_LOG_ARCHIVE |
| IKA_USERS_LOG_STATUS |
| IKA_USERS_test |

με περιεχόμενα:

+—————-+
| IKA_USER_NAMES |
+—————-+
| !!dies*** |
| “CRESP***** |
| #32+** |
| #ssm** |
| $IKA2**** |
| *00336**** |

Οι παραμένουν στη διάθεση των άμεσα ενδιαφερομένων, από τους ίδιους τους ερευνητές αλλά και από το .

Η ενημέρωση για ευπάθειες που ανακαλύπτονται σε οργανισμούς, θεωρείται άκρως απαραίτητη (ειδικά όταν υπάρχουν σε ιστοσελίδες υψηλής επισκεψιμότητας και εμπεριέχουν ευαίσθητα δεδομένα χρηστών), και για εμάς στο iGuRu.gr αποτελούν άμεση προτεραιότητα.

Ευελπιστούμε ότι με αυτό τον τρόπο, δηλαδή την άμεση έκθεση της κάθε ευπάθειας και όχι με το “κουκούλωμά” της, συμβάλουμε για ένα πιο διαδίκτυο.

iGuRu.gr The Best Technology Site in Greeceggns

Get the best viral stories straight into your inbox!















Written by newsbot

Αν και τα δελτία τύπου θα είναι από πολύ επιλεγμένα έως και σπάνια, είπα να περάσω ... γιατί καμιά φορά κρύβονται οι συντάκτες.

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).