Od medycyny do produkcji Cachaça: zrozum, jak oszustów oszukują
W zeszły wtorek (31.01.) TecMundo opublikował wiadomość o sprawie Terezy Gayoso, której konto w portalu INEP zostało przejęte z powodu kruchego systemu odzyskiwania hasła. Twierdzi, że zapisała się na lekarstwo w SISU, ale odkryła, że najeźdźcy zmusili ją do konkurowania na kursie produkcji Cachaça w instytucji we wnętrzu Minas Gerais. Ten i inne przypadki uczniów niepełnosprawnych są już w rękach policji federalnej, ale postanowiliśmy wyjaśnić ci, jak by to się stało.
Wcześniej jednak należy wyjaśnić, że nie możemy potwierdzić, kto był odpowiedzialny za tę sprawę. Istnieją zarzuty przeciwko grupom na Facebooku, takim jak „Panelinha do Bananal” i „Ilha da Macacada”, ale TecMundo skontaktowało się z obojgiem, które odmówiło udziału w nim. Istnieją nawet dowody przeciwko oskarżonemu z zewnątrz: forum o nazwie „55chan”, złożone z anonimowych użytkowników.
Użytkownicy tego forum odkryliby awarię portalu INEP i zgodzili się wykorzystać go do zmiany opcji kursów studenckich Enem na dzień przed terminem modyfikacji systemu. Oznacza to, że trolle postanowiły skrzywdzić studentów w czasie, gdy nie mogli już odwrócić sytuacji, ponieważ SISU nie pozwoliło na dalsze zmiany opcji kursów po 27.01.
Łatwo zapobiec awarii
Warto zauważyć, że chociaż hakerzy faktycznie popełnili przestępstwo i zhakowali konta studenckie na portalu INEP, strona internetowa instytutu nie utrudnia złośliwym ludziom działania. Osoba, która straciła hasło do portalu, może je odzyskać, po prostu wypełniając formularz z publicznymi danymi o sobie.
Ta akcja była najprawdopodobniej możliwa przez CADSUS
Witryna wymaga jedynie podania numeru ubezpieczenia społecznego, daty urodzenia, imienia i nazwiska, imienia matki i miasta / stanu, w którym mieszkasz. Dane te można łatwo uzyskać, skanując sieci społecznościowe, a także systemy konsultacji z konsumentami. Jeśli jednak winni są użytkownicy 55Chan, to najprawdopodobniej było to możliwe dzięki CADSUS.
Na poniższych zrzutach ekranu widać wyraźne cytowania do systemu rejestracji SUS, który od dawna jest stemplowaną bazą danych hakerów. TecMundo nawet zgłosił tę sytuację, ale najwyraźniej Ministerstwo Zdrowia nie rozwiązało jeszcze problemu, a hasła i loginy platformy są swobodnie sprzedawane i udostępniane w Internecie.
INEP mógł zapobiec tej sytuacji za pomocą prostej akcji bezpieczeństwa
Przestępcy mogą uzyskać praktycznie wszystkie dane osobowe obywatela brazylijskiego w CADSUS, i są tam wszystkie informacje potrzebne stronie internetowej INEP do odzyskania hasła.
Jeszcze prościej, wszystkie dane są stemplowane na dowodzie osobistym studenta. Gdyby zgubił dokument, z łatwością mógłby stać się ofiarą takiego ataku.
Jednak INEP mógł zapobiec tej sytuacji za pomocą stosunkowo prostych działań bezpieczeństwa: wyślij studentowi wiadomość e-mail z potwierdzeniem zmiany hasła, zamiast pozwalać mu na utworzenie nowego, tylko poprzez sprawdzenie niektórych danych. Dzięki tej procedurze hakerzy nie mogliby już uzyskać dostępu do kont bez konieczności włamania się do wiadomości e-mail kandydata.
Co mówi INEP
Poinformowaliśmy instytucję o awarii i poinformowaliśmy, że należy ją naprawić.
W zeszły poniedziałek (30) TecMundo skontaktował się z INEP (National Institute for Educational Studies and Research) po otrzymaniu skargi z anonimowego źródła na brak bezpieczeństwa na portalu INEP.
Poinformowaliśmy instytucję o awarii i poinformowaliśmy, że należy ją pilnie naprawić. Dzień później zaczęły pojawiać się przypadki uczniów poszkodowanych przez to. Z tego powodu przekazujemy przypadek studenta Terezy Gayoso, który został ujawniony w internetowej wersji magazynu Época .
INEP jedynie obiektywnie powrócił do naszego wczorajszego oświadczenia (02/02), stwierdzając, że obecny zarząd kontrolujący instytucję postępował zgodnie z procesami skorygowanymi przez poprzednie kierownictwo.
„[…] Należy zauważyć, że obecne kierownictwo, przejmując INEP w maju 2016 r., Już rozpoczęło proces składania wniosków Enem 2016, a także odpowiednie ogłoszenie opublikowane na podstawie procedur i procedur przyjętych w poprzednich edycjach. . W tym sensie obecna kadra kierownicza podążyła za przystąpieniem do egzaminu z najwyższym profesjonalizmem, bezpieczeństwem i poświęceniem, nawet w świetle sytuacji politycznej w kraju ”- powiedział biuro prasowe instytutu.
Sprawdziliśmy jednak wspomniane ogłoszenie na własnej stronie internetowej INEP i znaleźliśmy fragment dokumentu dotyczący odzyskiwania hasła. W nim można było zrozumieć, że INEP nie przestrzegał własnych zasad realizacji Enem 2016.
„5.3.1 Odzyskiwanie hasła odbywa się na stronie internetowej uczestnika pod adresem http://Enem.inep.gov.br/participante i wysyłane pocztą elektroniczną lub telefonem komórkowym za pośrednictwem wiadomości SMS, o czym poinformował sam UCZESTNIK podczas rejestracji. ”, Czytamy w ogłoszeniu.
Gdyby rzeczywiście była to procedura przyjęta na stronie, która nie wysyła SMS-a ani e-maila do uczestnika z nowym hasłem, nie zdarzyłyby się przypadki studentów z przejętymi kontami.
INEP mówi również, że pracuje nad nowymi procedurami bezpieczeństwa w celu ochrony uczestników, ale nie zamierza wdrożyć żadnej z nich w najbliższych dniach. „Obecne kierownictwo uważa [system za niebezpieczny] i pracuje nad udoskonaleniem tej procedury, między innymi w przypadku kolejnego wniosku egzaminacyjnego.”
Nie musisz być hakerem
TecMundo rozmawiał również z wirtualnymi ekspertami ds. Bezpieczeństwa, aby mogli ocenić sprawę i wyrazić swoją opinię na temat systemu odzyskiwania hasła na portalu INEP. Według nich nie musisz być hakerem, aby włamać się na konto uczestnika Enem.
„W coraz bardziej połączonym świecie każda złośliwa osoba może łatwo znaleźć dane osobowe użytkownika - takie jak numer ubezpieczenia społecznego, datę urodzin i nazwisko rodzica - w środowisku online (na przykład sieci społecznościowe i witryny wyszukiwania), a także, stamtąd uzyskaj dostęp do konta prywatnego [w portalu INEP]. Ten system wymiany haseł nie wymaga żadnej złośliwej wiedzy specjalistycznej - powiedział Emilio Simone, kierownik ds. Bezpieczeństwa PSilfe.
... konieczne jest pilne wzmocnienie bezpieczeństwa tego portalu ...
Twierdził ponadto, że należy pilnie wzmocnić bezpieczeństwo tego portalu, zwłaszcza że jest to ważna platforma rządowa.
Zapytaliśmy Simone, w jaki sposób instytucja powinna rozwiązać ten problem, a on pokazał proste rozwiązanie, które w rzeczywistości jest prawie takie samo, jak wymagało tego stosowanie publicznego zawiadomienia Enem 2016.
„Alternatywą dla poprawy bezpieczeństwa takich systemów byłoby wysłanie tymczasowego hasła na zarejestrowany adres e-mail. W związku z tym, aby uzyskać dostęp do platformy, użytkownik musiałby włamać się na swój osobisty adres e-mail, aby zmienić hasło, co już działałoby jako ulepszenie bezpieczeństwa ”- powiedział.
Szyfrowanie strony
Innym naruszeniem bezpieczeństwa, oprócz tego nieudanego systemu odzyskiwania hasła, jest to, że portal INEP nie używa szyfrowania na swojej stronie do wykonywania ruchu danych. Witryna działa na starym, niepewnym protokole HTTP, a nie HTTPS, który jest nowym standardem używanym na platformach wymagających uwierzytelnienia użytkownika.
Bez HTTPS przestępca może włamać się do Twojej sieci Wi-Fi i przechwycić wszystkie dane, które wysyłasz i odbierasz na stronie INEP przy niewielkim wysiłku. Jeśli uzyskujesz dostęp z sieci publicznej, na przykład z dowolnego sklepu lub nawet domu sieci, przechwytywanie jest jeszcze łatwiejsze, ponieważ haker nie musi podejmować trudu włamania się do sieci lokalnej. być łatwo dostępne. „Wysyłanie poufnych informacji przez niezaszyfrowane protokoły to duże ryzyko”, powiedziała Simone.
Możesz coś zrobić
Jeśli przestępca ma dostęp do CADSUS lub innej platformy z danymi osobowymi obywateli Brazylii, uczeń, który dostarczył Enem, jest praktycznie bezbronny. Jeżeli przestępca zna twoje imię, może przeszukać Twój numer ubezpieczenia społecznego, datę urodzenia, miejsce zamieszkania i nazwisko twoich rodziców w CADSUS. To pozwala mu zmienić hasło i wykonać dowolną akcję na portalu INEP.
Jeśli przestępca ma dostęp do CADSUS, uczeń, który dostarczył Enem, jest praktycznie bezbronny.
Ponieważ rejestracja w SISU została już zamknięta, w tej chwili nie ma wiele do zrobienia, ale naruszenie bezpieczeństwa jest nadal otwarte. Jeśli jednak uczeń chce zapisać się na drugie połączenie, może po prostu przegapić taką możliwość, ponieważ haker może zmienić zarejestrowany adres e-mail i uniemożliwić otrzymywanie jakichkolwiek powiadomień od INEP.
Oczywiście istnieje możliwość łatwego wznowienia dostępu do konta, podobnie jak hakerzy go porwali, ale trzeba być czujnym i często logować się, aby upewnić się, że wszystko jest w porządku.
Pomijając możliwość dostępu przestępcy do CADSUS, można podjąć pewne środki ostrożności, aby uniknąć stania się ofiarą. Personel Avast udzielił nam „czterech rad”, aby przekazać je studentom. Sprawdź to:
- Uwaga na sieci społecznościowe : zbyt częste udostępnianie jest niebezpieczne. Sprawdź ustawienia prywatności na kontach mediów społecznościowych i zawsze staraj się je chronić;
- Skanuj router : nie wystarczy przeskanować komputer w poszukiwaniu złośliwego oprogramowania i wirusów, ponieważ haker może również zaatakować router, przejąć kontrolę nad DNS i zabrać Cię do fałszywych stron internetowych. Zrób to za pomocą programu antywirusowego;
- Używaj VPN w publicznym Internecie : Musisz zaszyfrować swoje dane, gdy jesteś w domu lan lub korzystasz z bezpłatnego internetu w miejscach publicznych, w przeciwnym razie, jeśli sieć zostanie zhakowana, haker może uzyskać dostęp do wszystkich danych. W takich przypadkach zawsze używaj wirtualnej sieci prywatnej (VPN).
- Uwaga na ataki socjotechniki : jeśli ktoś wysłał Ci wiadomość e-mail z pytaniem o Twoje dane osobowe i obiecując pieniądze lub grożąc, że cię pozwie lub zabierze twoje imię, na przykład Serasa, bądź podejrzany. Dane osobowe nigdy nie powinny być udostępniane online.
Firma ochroniarska zaleca nawet utworzenie silnych haseł dla wszystkich typów kont platform internetowych; ale w przypadku portalu INEP nie ma to większego znaczenia, ponieważ niestety hasło można łatwo zresetować.
Via TecMundo.
Zalecane
