Internetowy serwis obs?ugi klientów ZUS zawiera b??dy krytyczne, które umo?liwiaj? przej?cie danych oraz zaszyfrowanych hase? (haszy) u?ytkowników tego serwisu - poinformowali Dziennik Internautów przedstawiciele serwisu United Crew.

Pe?ny dost?p do bazy danych serwisu e-Inspektorat ZUS mo?na uzyska? wykorzystuj?c technik? ataku sql injection - twierdzi Wojass z United Crew, który odkry? luk? i udokumentowa? swoje dokonanie na przyk?adowym zrzucie z ekranu.

Baza danych, do której dost?p uzyska? Wojass zawiera?a, oprócz loginów i haszy hase?, równie? dane personalne z adresem domowym, funkcj?, numerem telefonu.

Wojass w celach testowych zdekodowa? kilka haszy, dzi?ki czemu uda?o mu si? zalogowa? na konta wybranych u?ytkowników serwisu ZUS-u. Po zalogowaniu si? mia? prawa dost?pu do wszystkich us?ug dost?pnych dla danego u?ytkownika.

Jak twierdzi serwis United Crew, atak mo?e przeprowadzi? w?a?ciwie ka?dy u?ytkownik internetu bez specjalnych programów czy narz?dzi, za pomoc? dowolnej, wspó?czesnej przegl?darki internetowej.

Znalazca luk powiadomi? kilka dni temu administratora serwera ZUS-u o b??dach w zabezpieczeniach. Szczegó?y sprawy znajdziecie na stronie: http://unitedcrew.org/

?ród?o:http://www.di.com.pl/