เว็บไซต์ "ทดสอบ Hacker IQ" ของ Deloitte รั่วเพราะพาธ .git
Tillie Kottmanm นักพัฒนาแอปชาวสวิตเซอร์แลนด์เปิดเผยช่องโหว่และข้อมูลสำคัญจากเว็บไซต์ https://deloittehackeriq.com/ ซึ่งบริษัทระดับโลกอย่าว Deloitte เปิดออกมาให้ผู้เข้าชมทั่วไปสามารถทำควิซทดสอบความรู้ด้านการเจาะระบบ โดยปัญหาหลักนั้นมาจากการที่เว็บไซต์มีพาธ .git อยู่ในระบบโปรดักชัน
โดเมน deloittehackeriq.com ถูกจดทะเบียนและใช้งานตั้งแต่เดือน 2015 โดยมีการปรากฎ trademark ของ Deloitte Development จากชัดเจน Tillie ค้นพบว่าพาธ .git ของเว็บไซต์สามารถเข้าถึงได้ และทำให้ Tillie สามารถเข้าถึงข้อมูลเพิ่มเติมอย่างอื่นได้ อาทิ ข้อมูลสำหรับยืนยันตัวตนเพื่อเข้าถึงฐานข้อมูลและซอร์สโค้ดของเว็บไซต์
นอกเหนือจากปัญหาในด้านการจัดการที่พังแล้ว Tillie ยังพบว่าเว็บไซต์ดังกล่าวนั้นทำงานถูกรันอยู่บน Ubuntu 14.04 ซึ่งไม่ได้รับการสนับสนุนด้านความปลอดภัยไปตั้งแต่เดือนเมษายนปีก่อน และในปัจจุบันก็มีช่องโหว่ซึ่งเป็นที่ทราบกันว่าสามารถใช้โจมตีระบบดังกล่าวได้อย่างน้อย 11 ช่องโหว่
Tillie ประกาศการค้นพบลงในทวิตเตอร์ของเขา อีกทั้งยังมีการแนบรูปข้อมูลที่เขาสามารถเข้าถึงได้ และยังแซะกลับไปทางบัญชีทวิตเตอร์ของ Deloitte อีกด้วย "แล้วค่า hacker IQ ของผมเป็นเท่าไหร่ละ (จากข้อมูลที่ได้ไป)"
ที่มา: theregister
You must be logged in to post a comment.