Διαρροή δεδομένων Ελλήνων φοιτητών: Ευπάθεια στο UniverSIS! Μια SQL injection (SQLi) ευπάθεια σε μια πλατφόρμα ανοιχτού κώδικα που αναπτύχθηκε από ελληνικά πανεπιστήμια για τη διαχείριση δεδομένων Ελλήνων φοιτητών άφησε τους ακαδημαϊκούς βαθμούς εκτεθειμένους.
Η ευπάθεια στην εφαρμογή, UniverSIS, θα μπορούσε να επιτρέψει σε χάκερ να αποκτήσουν πρόσβαση σε ταυτότητες, ονόματα μαθητών, ονόματα γονέων, αριθμούς κοινωνικής ασφάλισης, διευθύνσεις σπιτιού και κινητά τηλέφωνα, σύμφωνα με μια ανάρτηση ιστολογίου που δημοσιεύτηκε από τον ερευνητή ασφαλείας Σταύρο Μεκέση.
Οι διαχειριστές της πλατφόρμας κυκλοφόρησαν μια ενημερωμένη έκδοση κώδικα στο GitLab μια ημέρα αφότου ειδοποιήθηκαν για το ελάττωμα (που παρακολουθείται ως CVE-2022-29603).
Διαρροή δεδομένων Ελλήνων φοιτητών: Εκατομμύρια χρήστες εκτεθειμένοι!
Το UniverSIS είναι ένα Σύστημα Πληροφοριών Φοιτητών (SIS) που χρησιμοποιείται από μερικά από τα μεγαλύτερα πανεπιστήμια της Ελλάδας, συμπεριλαμβανομένου του πολύ μεγαλύτερου, του Αριστοτελείου Πανεπιστημίου Θεσσαλονίκης, για την αποθήκευση και διαχείριση προσωπικών στοιχείων ταυτοποίησης, αποτελεσμάτων εξετάσεων και άλλων ευαίσθητων δεδομένων των φοιτητών.
«Η πλατφόρμα χειρίζεται επίσης ανενεργούς φοιτητές και αδρανείς υπαλλήλους», είπε ο Μεκέσης στην Daily Swig. «Έτσι, θα ήταν ασφαλής εκτίμηση να πούμε ότι η πλατφόρμα έχει δεδομένα εκατομμύρια χρηστών».
Αν και η πολυπλοκότητα της επίθεσης είναι χαμηλή, ο χάκερ πρέπει να πιστοποιηθεί, αν και με χαμηλά προνόμια, όπως αυτά ενός μαθητή, σύμφωνα με τον Μεκέση.
«Ωστόσο, δεδομένου ότι πολλοί μαθητές τείνουν να επαναχρησιμοποιούν κωδικούς πρόσβασης, όταν αυτοί οι κωδικοί πρόσβασης παραβιαστούν, μπορούν να χρησιμοποιηθούν για να εισέλθουν στο UniverSIS και να εκμεταλλευτούν την ευπάθεια SQLi», προειδοποίησε ο Μεκέσης. «Επιπλέον, το phishing είναι μια σχετικά φθηνή και αποτελεσματική μορφή επίθεσης».
Το ζήτημα του UniverSIS SQLi αφορούσε το $select parameter και επηρέασε πολλά API endpoints, συμπεριλαμβανομένου του /api/students/me/messages/, λόγω ακατάλληλης επικύρωσης του user-supplied input.
Μετά την αποστολή ειδικά διαμορφωμένων SQL statements σε ένα ευάλωτο τελικό σημείο, ο χάκερ θα μπορούσε «να δει, να προσθέσει, να τροποποιήσει ή να διαγράψει πληροφορίες στη βάση δεδομένων back-end», σύμφωνα με τον ερευνητή ασφαλείας.
Οι εκδόσεις του UniverSIS έως και την 1.2.1 είναι όλες δυνητικά ευάλωτες. Ο Μεκέσης έχει συμβουλεύσει τους χρήστες να εφαρμόσουν μια πρόσφατη ενημέρωση κώδικα το συντομότερο δυνατό.
Διαρροή δεδομένων Ελλήνων φοιτητών: Τι κάνει το Υπουργείο Παιδείας;
Η ευπάθεια αποδεικνύει ότι τα Ελληνικά ακαδημαϊκά ιδρύματα δεν επενδύουν στην ασφάλεια και στην ενίσχυση των πληροφοριακών υποδομών τους, ακόμα και τώρα δύο χρόνια μετά την “αναγκαστική” μεταφορά του εκπαιδευτικού συστήματος στον ψηφιακό κόσμο εξαιτίας της πανδημίας του COVID-19. Η διαχείρηση και η ασφάλεια των πληροφοριακών συστημάτων που αποτελεί “χρυσό” για τους χάκερς λόγω του τεράστιου όγκου ευαίσθητων πληροφοριών Ελλήνων πολιτών, παραμένει ακόμα δεύτερη και τρίτη προτεραιότητα για τους Πρυτάνεις και τους αρμόδιους οι οποίοι επιλέγουν να μην στελεχώσουν την ομάδα πληροφορικής με κατάλληλα καταρτισμένους επαγγελματίες ενώ σε πολλές περιπτώσεις οι υποχρεώσεις συντήρησης των πληροφοριακών συστημάτων βαραίνουν σπουδαστές και μόνο. Ίσως είναι καιρός για μια συνέργεια του Υπουργείου Παιδείας με το Υπουργείο Ψηφιακής Διακυβέρνησης με σκοπό την καλύτερη οργάνωση των κρίσιμων υποδομών των ακαδημαϊκών ιδρυμάτων και την στελέχωση τους με εργατικό δυναμικό που μπορεί να εγγυηθεί την ομαλή λειτουργία των συστημάτων και την διαφύλαξη και κινδύνους και επιθέσεις!
Θα πρέπει να ερευνήσει η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα το ενδεχόμενο διαρροής αλλά και την χρήση των αδυναμιών από κακόβουλους χρήστες;
*Το SecNews ευχαριστεί τον αναγνώστη – που επιθυμεί να παραμείνει ανώνυμο το όνομά του- για την αναφορά του περιστατικού με σκοπό την ανάδειξη.