[Αποκλειστικό] Εντοπισμός και κοινοποίηση αδυναμιών από τον ExtAsY στην ιστοσελίδα www.ika.gr!

Με εντοπισμό και κοινοποιήση αδυναμιών επιλέγει ο γνωστός 15χρόνος – κατα δήλωσή του-  hacker ExtAsY να ενημερώνει το κοινό του σχετικά με αδυναμίες που εντοπίζει σε γνωστές ιστοσελίδες. Μετά την αντίστοιχη παράθεση αδυναμιών που είχε πραγματοποιήσει στην ιστοσελίδα της Unesco Hellas, αυτή την φορά στο στόχαστρό του τέθηκε η ιστοσελίδα του Ιδρύματος Κοινωνικών Ασφαλίσεων (www.ika.gr). Το SecNews εντόπισε ανάρτηση του ExtAsY στο Pastie.org, όπου στοχοποιεί την ιστοσελίδα του ΙΚΑ-ΕΤΕΜ, αναλύοντας τα σφάλματα και τις αδυναμίες που διαπίστωσε στην ιστοσελίδα του Ιδρύματος. Στην ανάρτηση που μπορείτε να δείτε <…>

ολοκληρωμένη [εδώ], ο ExtAsY  εντοπίζει αδυναμίες Blind Sql Injection, XSS, SQL Injection κ.α.  ενώ παραθέτει και μηνύματα σφάλματων που του επέτρεψαν να αντλήσει περαιτέρω πληροφορίες για την δικτυακή εφαρμογή.  Συγκεκριμένα στην ανάρτηση του εντοπίζει:

1) Αδυναμίες XSS και SQL Injection σε εσωτερικούς συνδέσμους της ιστοσελίδας του ΙΚΑ

2) Απόδειξη χρήσης XSS αδυναμίας στην ιστοσελίδα του ΙΚΑ με ανάρτηση μηνύματος στον φυλλομετρητή (browser) του εκάστοτε χρήστη – «Xss3d by _Extasy_»

3) Εντοπισμός πλήθους e-mail διευθύνσεων του ΙΚΑ που μπορούν να χρησιμοποιηθούν από  hackers για επιθέσεις τυπου spear phising για άντληση δεδομένων και πρόσβαση στα εσωτερικά συστήματα του Οργανισμού.

Ο ExtAsY δεν προχώρησε σε αλλοίωση ιστοσελίδας,όπως μας έχει συνηθίσει. Το SecNews δεν είναι σε θέση να γνωρίζει αν αυτό δεν ήταν εφικτό λόγω των μέτρων ασφάλειας που έχουν λάβει οι υπεύθυνοι της ιστοσελίδας του ΙΚΑ ή ίσως επειδή δεν επιθυμούσε κάτι τέτοιο ο ExtAsY, μιας και αρκέστηκε μόνο στην παράθεση των αδυναμιών-δεδομένων που άντλησε.

Η ιστοσελίδα βρίσκεται σε εξυπηρετητή εντός των υποδομών του Ιδρύματος Κοινωνικών Ασφαλίσεων (ΙΚΑ). Συνεπώς σε ενδεχόμενη επίθεση του εξυπηρετητή της ιστοσελίδας με χρήση των αδυναμιών που παρατέθηκαν, δύναται να επηρεασθούν δεδομένα του Ιδρύματος ή να επηρεασθούν δεδομένα χρηστών των ηλεκτρονικών υπηρεσιών  που παρέχονται από την ιστοσελίδα προς το κοινό.

Οι αδυναμίες που παρέθεσε ο ExtAsY, αν και πρόκειται για σφάλματα μεσαίας ή χαμηλής επικινδυνότητας, πρέπει να επιδιορθωθούν ΑΜΕΣΑ απο τους αρμόδιους  διαχειριστές της ιστοσελίδας. Οταν σύμφωνα με δημοσιεύματα η ιστοσελίδα κόστισε  2.2 εκατ. ευρώ(!), δεν δικαιολογούνται τέτοιου είδους παραλήψεις και τεχνικά σφάλματα, που υπό ορισμένες συνθήκες μπορούν να εκθέσουν ακόμα και ευαίσθητα προσωπικά δεδομένα πολιτών!

Ευχαριστούμε τον ανώνυμο αναγνώστη για την έγκαιρη και έγκυρη υπόδειξη του συνδέσμου στο Pastie.org.  με τις λεπτομέρειες της επίθεσης.