Popular channels

Hackeado campus online UNLaM

Vulnerado campus web (MIeL) UNLaM

Reporte de seguridad



Hola T!

En esta vuelta les muestro una serie de fallos de seguridad que encontré en la página Materias Interactivas en Línea de la Universidad Nacional de la Matanza, que es usada por miles de personas todos los días. A los usuarios, que confían en la Secretaría de Información de la Universidad para proteger sus datos personales ¡no los podrían haber dejado más en banda!

Las fallas de seguridad en sí, entre las que se destacan inyecciones SQL, XSS, no verificación de datos, y no encriptación de claves, pueden apreciarse en este reporte (PDF) con todo su detalle.

Pero Lince, ¿vos no avisaste a las autoridades antes de publicar acá en T!? Pues claro que sí, mi pequeño saltamontes, acá te dejo para que te bajes (PDF) la carta que le mandé al decano de Ingeniería (que por cierto, tiene una especialización de estudios superiores en seguridad informática).

Pará papá, me decís vos, ¿o sea que no robaste las fotos del desnudo de [INSERTE NOMBRE DE DOCENTE]? No, pero sí se pueden obtener todas las claves de usuario, enviar mensajes haciéndose pasar por otros, cambiarle a todos el nombre (Rosa Meltrozo sería divertido), aprobarse todos los TPs y más. Obviamente yo no hice ninguna de estas cosas, pero como otro sí pudo haberlas hecho, hago la publicación para que las autoridades se apuren a resolver el problema.

Soy usuario, ¿qué puedo hacer?
En un caso ideal, no debería usar el sistema bajo ningún concepto. Sin embargo, sabiendo la realidad de la universidad, esto no es posible, por lo que recomiendo seguir unas pautas de seguridad.
  • Insístale a los directivos la inversión de recursos para solucionar las incidencias presentes en el reporte.
  • Cambie su clave a una que no use en otro lado. Tenga presente que obtener la clave de su usuario es muy fácil.
  • No almacene datos cuya existencia no deba ser pública.
  • No confíe en la autenticidad de los mensajes que recibe: podría no haberlos enviado el alumno o docente en cuestión.
  • No entre al sistema desde una red pública como la de la universidad o una cafetería.
  • Evite leer los mensajes si puede hacerlo, ya que podrían contener código malicioso.

Les dejo la página de mi sitio que actualizaré con más información si es necesario:
http://satragno.com/index_es.html#tab_security
¡Saludos!
0
3
0
3Comments
ltaps

En Miel lo unico que suben son apuntes en PDF, no sirve para nada tener acceso a las claves o lo que sea, el día que encuentres alguna vulnerabilidad en el sistema de intraconsulta que es ahí donde suben las materias promocionadas avisanos.

+1
MegaTuls

Muy linda universidad hay que aprovechar ahora antes que la rompan y politicen como la UBA

0
5p3c7r0

Vengo del futuro, LFU sigue siendo la que domina, no hay politica adentro de la uni, solo zurdix que no les dan bola ni en el depto de HUMOnidades

0
Ruben-Rada

Donde estan los linces que estudian abogacia como yo?

0
5p3c7r0

Seguis en la carrera?

0