Как часть его работы в SafetyDetective исследовательской лаборатории, Израильский хакер и активист Ноам Ротем недавно обнаружили серьезные нарушения безопасности в системе JDECo в Иерусалимском окружном Электрической компании.

Созданная в 1956 году, компания обеспечивает питание для десятков тысяч клиентов в Иерусалиме, Вифлееме, Рамалле и Иерихоне. Частных домашних хозяйств и местных предприятий составляют значительную часть клиентской базы компании.

На странице JDECo Facebook

Конфиденциальные Данные Подвергаются

Как JDECo система была полностью разоблачена, хакер был в состоянии легко получить доступ к данным клиента – от полного названия, адреса и номера телефонов, для фото ID карты и другую личную информацию.

В базе содержатся десятки тысяч идентификационных карт:

В дополнение к этому персональные данные, было также очень легко найти информацию относительно счетов, историю платежей, сбои питания, звонки, и так далее.

Здесь мы видим список открытых сервисных заявок.

Система размещается на израильской Электрической компании диапазон IP-адресов:

Любой может быть админом

Меры безопасности на серверах были так бедны, что хакер смог получить доступ к админ.

Некоторые файлы админ не проверяет наличие разрешения или какой-либо аутентификации, то есть они могут быть доступны и открыты по любому, не имя пользователя или пароль.

В частности, файле adduser.aspx, который позволяет добавлять новых пользователей и предоставления им с разрешения администратора.

Как только этот файл был доступен, всем хакерам надо было сделать, это заполнить эту форму для создания нового пользователя:

После того, как пользователь был создан под названием “админ,” полный доступ к системе был предоставлен. Помимо поддержки данных для выставления счетов и историю платежей, пользователь с правами администратора может просматривать информацию о сотрудниках, приборы, и многое другое.

Nod32 лучше?  Интервью С Ариком Либерзон – Pcysys

С доступом в админ давай полные права редактирования, поэтому сотрудники могут быть добавлены и удалены, и все их личные данные могут быть просмотрены и изменены.

Что касается информации о клиентах, состоянии счетов счетов может быть изменен, и долги могут быть “очищены” с помощью щелчка мыши.

Когда речь идет о неисправности питания и другие вопросы, сотрудники компании иногда фотографировать метров. Это были также доступны:

Как были фотографии конкретных неисправностей.

Этические взлома на Ближнем Востоке

В разгар этой области конфликта Израильский хакер – тот же самый, который предупреждал нас о Биби боты – сразу потянулся к JDECo, компания, поставляющая мощность в 30% семей на Западном берегу и в Восточном Иерусалиме, чтобы предупредить их о серьезных нарушения безопасности в своей системе.

В этот день и возраст, этические взлома имеет право мостов между общинами.

Наши эксперты по безопасности были рады предоставить рекомендации и информацию о том, как решить все проблемы. Мы предположили, Защита веб-сервера, перенос к правильной архитектуре MVC, проверять все скрипты, реализующие соответствующие протоколы, используя правильный ключ API, и регулярные проверки безопасности.

Мы рады сообщить, что JDECo принял наши предложения и решить большинство проблем безопасности.

О Нас

SafetyDetective.com это крупнейший в мире сайт антивируса обзора. Безопасность детектив научно-исследовательской лаборатории является безвозмездной услугой, которая призвана помочь интернет-сообщество защитить себя от кибер-угроз, в то время как обучение организаций по защите своих пользователей данных.

Вы можете быть заинтересованы в чтении о огромная брешь в системе безопасности, найденные в больницу и холодильных систем супермаркетов, и как анонимные хакеры сняли более миллиона страниц на сотни корпоративных сайтов.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *