12:04
30/7/2014

Atak udokumentowano na tym filmiku

Włączono też muzyczkę w infokiosku:

Dodatkowo (z innego systemu — ale nie wiemy jakiego) studentom udało się wyciągnąć listę innych studentów (imiona, nazwiska, wydział i numery grup oraz indeksu).

unnamed-4

Studentom gratulujemy znajomości Windows, przypominamy o odpowiedzialnym zgłaszaniu błędów do władz uczelni …i radzimy, aby na przyszłość zadbali o OPSEC. Na jednej z klatek filmiku widać ich twarze ;-)

Przeczytaj także:

Ten wpis pochodzi z naszego linkbloga *ptr, dlatego nie widać go na głównej.
*ptr możesz czytać przez RSS albo przez sidebar po prawej stronie serwisu.

19 komentarzy

Dodaj komentarz
  1. Pff, Windowsiarze.

  2. Akurat te dane z numerami indeksu to nie są jakieś dane chronione, przynajmniej u mnie na wydziale tak nie jest i przez ~1 miesiąc podczas rejestracji można znaleźć każdego po krótkiej chwili szukania w systemie. System, podobnie jak mój, wygląda na dość stary i zapewne dziurawy, ale po co zmieniać, jak działa?

    • Skoro pozwala na pozyskanie listy studentów to nie nazwałbym tego działaniem. Mając listę studentów możesz wykonać ukierunkowany atak. Np. jeśli e-maile szkolne są tworzone w jednakowy sposób można wysłać do wszystkich e-maile podszywając się pod uczelnię.

    • Listę osób (imię, nazwisko, kierunek) to nawet z usos można odczytać. Jednak by zobaczyć e-mail trzeba otworzyć podstronę z konkretną osobą. Więc utrudnienie jest, ale jak ktoś się uprze, to podobny spis może sobie zrobić.

  3. Odbicie twarzy wystarczyło – jedziemy tego niedobrego hackera.

    • Podpowiem, jada pierogi w D10

    • A dobre te pierogi?

  4. Same Magdaleny. Czyżby po imprezie student znał tylko imię dziewczyny i teraz jej szuka bo była za., fajna?
    Zazwyczaj to dziewczyny szukają po…

    Pozdrawiam

  5. ;) Przypomniały mi się czasy kiedy bawiłem się takimi sprzętami. Udało mi się nawet hacknąć PIAP w szpitalu.

  6. BTW filmik sprzed 4 lat więc pewnie panowie studentami już nie są.

    Pozdrawiam

  7. Ten “drugi system” to prawdopodobnie strona Studium Języków Obcych AGH (są podane języki, a oznaczenia grup odpowiadają tym jakie mają grupy językowe na AGH). Zebranie z niej takich danych nie jest szczególnym wyczynem, czasami na stronie SJO trzeba sprawdzać jakieś rzeczy (swój termin egzaminu, wynik egzaminu, przypisanie do grupy) w oparciu o numer indeksu (i jest to jedyne zabezpieczenie), który jest po prostu kolejną liczbą, więc żaden problem się przeiterować…

    Swoją drogą, dane na tym zrzucie ekranu trochę “staro” wyglądają, bo już dla studentów zaczynających studia w 2012 roku numery indeksów przekraczały 250000.

  8. I tak nie przebije biblioteki Politechniki Białostockiej, dane logowania są przechowywane w linku więc jak kolega wyślę Ci linka to logujesz się na jego konto

  9. -_- Serio? O tym piszecie w ptr?
    Nie ma nic trudniejszego :X Coś takiego zrobiłem na wycieczce w Danii w muzeum Andersena. Błąd w aplikacji prezentacyjnej – wybranie innego języka na ekranie powodowało mignięcie aplikacji, dosłownie 1/4 sekundy, a to pozwalało na dostęp do Menu Start… Z nudów grałem ze znajomymi m.in. w pasjansa :> A po wszystkim zrobiliśmy skrypt w bat resetujący komputer i dodaliśmy do autostartu =]

    Nie wiedziałem, że to jest warte pokazania tego.

  10. Na Politechnice Śląskiej popisali się jeszcze bardziej, jeden ze studentów miał problem z zaliczeniem przedmiotu (sieci komputerowe) więc starał się wykonać ćwiczenie zdalnie podmieniając IP maszyny na takie, które widniało wewnątrz innej podsieci – bo tylko tak można było zalogować się na serwer.

    Cały szkopuł w tym, że serwer testowy powiązany był z tym głównym i PŚ na pół godziny straciła dostęp do modułu moodle. Niby nic wielkiego, a jednak kolosalny błąd.

  11. Ja (i moja przestrzen) na takich maszynach stawialem startery botow;)

    • Chcesz Donia tu sprowadzić? Kurde, stary, nie.

  12. @Konieczny: byłeś ostatnio na jakichś szkoleniach dotyczących OPSEC? Bo ten skrót pojawia się ostatnio w prawie każdym artykule, wcześniej w żadnym. Spodobało się słówko? ;p

  13. Ktos tam pisal o SJO, przeciez na ich stronie normalnie jest SQLi. Tak samo jak na stronie tego wydzialu od wychowania fizycznego.

  14. To dlatego od kilku lat te panele na moim wydziale już nie funkcjonują i stoją sobie wyłączone pod dziekanatem…

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.