W lutym wykryłem szereg błędów w zabezpieczeniach serwisów MS. Ponieważ sprawa była bardzo poważna, nie publikowałem żadnych informacji, by dać Administratorom czas na załatanie dziur…
Niestety minęło pół roku i mimo licznych kontaktów, (mailowych i telefonicznych) z pracownikami Ministerstwa nie doszło do załatania wykrytych przeze mnie luk.
Zostałem poinformowany, iż jest to ryzyko, które gotowi są ponieść. Dziwi mnie to, ponieważ błędy te mogą zostać wykorzystane do zdobycia pełnego dostępu do bazy danych (zarówno odczyt jak i zapis), czy nawet do przejęcia całkowitej kontroli nad systemem. Chciałem również zaznaczyć, że moje badania były prowadzone za wiedzą (a w większości wypadków za prośbą) pracowników ministerstwa.
Jako dowód załączam jeden z maili jaki dostałem:
“Administrator Poczty MS (DCORS)” [email protected].
Witam,
Dziekujemy za informacje,
Mielismy uwagi co do wykonania tej aplikacji ([…]) – robila ja nam firma zewnetrzna
Czy moglby Pan jeszcze sprawdzic:
tlumacze.ms.gov.pl
ms.gov.pl
Błędy nie zostały do tej pory naprawione…