Este blog tiene como motivo mostrar las vulnerabilidades y problemas que poseen sitios y servidores Argentinos en materia de seguridad informática, ya sean comerciales, oficiales, o gubernamentales. Los mismos son informados a los responsables de cada uno de estos previo al post en el blog. El fin, que la información personal de cada Argentino sea tratada como tal y sea resguardad como corresponde. El autor de las publicaciones no se hace responsable por el mal uso de la información brindada.
martes, 4 de mayo de 2010
Sistema de inscripción a finales (UBA) - Descuido - Facultad de Ingeniería
Revisando un poco las paginas de las universidades di con un archivo de nombre corriente dentro del Sistema de inscripción a finales de la facultad de Ingeniería de la Universidad de Buenos Aires. Como su nombre lo indica, dicho sistema sirve para que los alumnos de la universidad se registren para poder dar los exámenes integradores (finales) de las distintas materias correspondientes a carreras de ingeniería.
Esta de más aclarar la importancia de este sistema y de la información allí alojada. Sin mas rodeos, una captura del contenido de dicho archivo:
Lamentablemente este log da demasiada información, donde adicionalmente de los registros agregados, siendo los mismos ni mas ni menos que números de DNI de estudiantes, podemos ver (recuadro rojo) el nombre de usuario y contraseña de la persona que actualizó dichos registros.
Me pregunto si estos datos servirán para autenticarse en el siguiente panel de administración:
Es por eso que al momento de crear registros de sistema es importante alojar los mismos en una carpeta protegida (para más información leer "¿Acceso restringido? Si, claro..."), o cambiarle los permisos para que solo puedan ser visualizados por un determinado grupo de usuarios dentro del servidor.
Por suerte parece que al administrador, quien por cierto tiene un humor bastante particular al momento de crear credenciales, elimino o movió dicho archivo. Estimo que observo los rastros del analisis que realice y se percato del problema.
Ximo
Suscribirse a:
Entradas (Atom)