sérülékenység austrotherm

Súlyos sérülékenységet találtunk az Austrotherm Kft. weboldalán

A Fiatalok Digitális Biztonságáért és Tudásáért Alapítvány és a Paladin Human Solutions Kft. együttműködve folyamatosan kutatja a magyar internetes weboldalak sérülékenységeit. Ezeket a sérülékenységeket a felderítésüket követően azonnal jelezzük az érintett félnek, aki legtöbb esetben azonnal javítja is a hibát, de sajnos előfordul, hogy nem, ami további súlyos biztonsági kockázatokat jelent a szervezet informatikai biztonságára tekintettel. Ilyen súlyos sérülékenység merült fel az Austrotherm Kft. weboldalán.

Súlyos sérülékenység – austrotherm.hu

Legutóbb egy ilyen internetes adatszivárgás ellenőrzés során találtunk rá az Austrotherm Kft. tulajdonában lévő www.austrotherm.hu domain név alatt működő – weboldalt kiszolgáló – webszerver hibás beállítására, amely adatszivárgást eredményezett. Ez súlyos sérülékenységet jelentett a szerveren tárolt adatok biztonságára tekintettel!

Azonnal tájékoztattuk a sérülékenységről a domain tulajdonosát, akik néhány nap alatt javították a szerver hibás beállítását.

Mi volt ez a súlyos sérülékenység?

Az általunk feltárt beállítási probléma miatt megfelelő jogosultsággal nem rendelkező személyek hozzáférhettek és letölthettek a weboldalról olyan akár bizalmas információkat tartalmazó dokumentumokat, amiket a közzé tevők nem akartak az interneten nyilvánosságra hozni, bárki számára elérhetővé tenni, azok elérését csak egy kizárólagos célcsoport részére kívánták korlátozni.

A felderített súlyos sérülékenység lehetővé tette továbbá, hogy valaki kis szaktudással egy webböngészőből elérje a webszerverre feltöltött dokumentumokat, majd azokat letöltse a saját számítógépére. Ezekben a dokumentumokban található bizalmasnak tekinthető adatokat így károkozásra is felhasználhatta volna akár zsarolási céllal.

A szerver hibás beállítása lehetővé tette még, hogy a weboldalra látogató kisebb számtástechnikai szaktudással megtekintse a szerveren lévő teljes fájlstruktúrát és az ott tárolt fájlokat a szerverről letöltse, az azt közzé tevő személy/cég esetleges akarata ellenére.

Javasoltuk a domain név tulajdonosának, hogy haladéktalanul vegyék fel velünk a kapcsolatot annak érdekében, hogy javaslatot tehessünk a szerver beállítások módosítására. Ez a mai napig nem történt meg, ennek ellenére a cég javította a hibát, a sérülékenység már nem látható a szerveren.

cyberkid.hu főtámogató a Paladin Human Solutions Kft.

0 0 votes
Article Rating
Iratkozz fel
Visszajelzés
guest
0 hozzászólás
Inline Feedbacks
Összes komment
0
Van véleményed? Írd meg!x