bencede
New member
Güvenlik Uzmanı IT Tim Philipp Schäfers, eski kullanıcı hesapları nedeniyle oldukça tuhaf adreslerle ve “[email protected]” ve genel koruma ölçütleri gibi federal göç ve mülteciler (BAMF) ofisinde ciddi bir kırılganlık keşfetti. Uzman, en düşük araçları kullanarak bir BAMF sisteminde hızla idari haklar elde etti. Bilgisayar saldırısı durumunda, bu sona erebilirdi: otorite, entegrasyon, konaklama ve aile ilişkileri ve biyometrik özellikler hakkında bilgi de dahil olmak üzere mültecilerden son derece hassas kişisel verileri işler.
Duyuru
BT sistemlerine erişimi kontrol etmek için BAMF, “birkaç yıl önce delege edilen kullanıcı (DEBEV) için bir yönetime” rehberlik etti, Schäfers, keşfi hakkındaki bir raporda. Çeşitli uzman prosedürler aracılığıyla çalışan merkezi kimliğin bir yönetimidir. Nisan 2018'de DEBEV kullanımı hakkında bilgi içeren kamuya açık bir belge patlayıcı detaylar içeriyordu. Web uygulama ekran görüntülerini kullanarak, görünüşe göre test ve entegrasyon sisteminde “[email protected]” kullanıcısının tanınmasıyla bir hesap olduğunu görebilirsiniz. Etki alanı hala özgürdü. Schäfers 5.97 Euro temin etti.
Belgelerde, güvenlik araştırmacısı DEBEV'de “unutulmuş şifre” işlevinin kullanımının bir göstergesi de bulmuştur. Mustermann hesabının hala var olup olmadığını kontrol etmek için, çok dengeli bir yakalama bölmesi oluşturdu. Bu, merkezi bir posta kutusunda kaydedilen alandaki tüm adreslerde herkesle biter. Looky, unutulmuş işlevi bastırdıktan birkaç saniye sonra, ona göre, belirleyici e -posta, şifreyi sıfırlamak için dahil edilen postane bağlantısında sona erdi. İki faktöre daha fazla kimlik doğrulama veya kimlik doğrulama yapmadan yeni bir şifre ayarlayabilmek için bağlantıya bir tıklama yeterliydi. Sonraki kayıt kolaydı.
Diğer uzman prosedürlere erişim açıldı
Yazar, özellikle belirlenen şifrenin diğer BT uzman prosedürlerine erişmek için potansiyel olarak mümkün olacağını özellikle patlatıyor. Bunu “etik nedenlerle” terk etti. Bununla birlikte, “Kullanıcıları Yönet” e bir tıklama, BAMF, belediyeler ve araştırma enstitülerine atanan 200 ila 300 arasında bir kullanıcı hesapları listesini açıklamalıdır. Bazı kullanıcılar özel adresler ve emilleri resmi amaçlar için kullanırlardı, bu da güvenlik için ek bir risktir. Hesaba erişim, diğer hesaplardan şifre sıfırlama olasılığı da dahil olmak üzere potansiyel olarak uzak idari hakları mümkün kılar.
Bernd, Desen Carla Columna ve Maria örneği
Raporuna göre, Schäfers BAMF'ye bildirdi, daha sonra otorite, diğer dört hesap Anna.Mustermann, Bernd_ Örneği, Carla-Columna ve Maria ile ilgili hesabı devre dışı bıraktı. BAMF'in hemen geri bildirimi yapılmadı, bu da daha fazla soruşturmaya yol açtı. Son olarak, otorite güvenlik sorunlarının çözüldüğünü doğruladı. Netzpolitik.org'a göre, ofis Federal Veri Koruma Otoritesini de bilgilendirdi. Schäfers, testler ve üretim sistemleri arasında net bir ayrım yapmanızı, hesap hijyenini uygulamak ve bu güvenlik boşluklarını önlemek için birden fazla faktöre kimlik doğrulama uygulamak önerir.
Güncelleme
05.03.2025,
22:07
Saat
Tim Philipp Schäfers'ın adı doğruydu.
(Mack)
Duyuru
BT sistemlerine erişimi kontrol etmek için BAMF, “birkaç yıl önce delege edilen kullanıcı (DEBEV) için bir yönetime” rehberlik etti, Schäfers, keşfi hakkındaki bir raporda. Çeşitli uzman prosedürler aracılığıyla çalışan merkezi kimliğin bir yönetimidir. Nisan 2018'de DEBEV kullanımı hakkında bilgi içeren kamuya açık bir belge patlayıcı detaylar içeriyordu. Web uygulama ekran görüntülerini kullanarak, görünüşe göre test ve entegrasyon sisteminde “[email protected]” kullanıcısının tanınmasıyla bir hesap olduğunu görebilirsiniz. Etki alanı hala özgürdü. Schäfers 5.97 Euro temin etti.
Belgelerde, güvenlik araştırmacısı DEBEV'de “unutulmuş şifre” işlevinin kullanımının bir göstergesi de bulmuştur. Mustermann hesabının hala var olup olmadığını kontrol etmek için, çok dengeli bir yakalama bölmesi oluşturdu. Bu, merkezi bir posta kutusunda kaydedilen alandaki tüm adreslerde herkesle biter. Looky, unutulmuş işlevi bastırdıktan birkaç saniye sonra, ona göre, belirleyici e -posta, şifreyi sıfırlamak için dahil edilen postane bağlantısında sona erdi. İki faktöre daha fazla kimlik doğrulama veya kimlik doğrulama yapmadan yeni bir şifre ayarlayabilmek için bağlantıya bir tıklama yeterliydi. Sonraki kayıt kolaydı.
Diğer uzman prosedürlere erişim açıldı
Yazar, özellikle belirlenen şifrenin diğer BT uzman prosedürlerine erişmek için potansiyel olarak mümkün olacağını özellikle patlatıyor. Bunu “etik nedenlerle” terk etti. Bununla birlikte, “Kullanıcıları Yönet” e bir tıklama, BAMF, belediyeler ve araştırma enstitülerine atanan 200 ila 300 arasında bir kullanıcı hesapları listesini açıklamalıdır. Bazı kullanıcılar özel adresler ve emilleri resmi amaçlar için kullanırlardı, bu da güvenlik için ek bir risktir. Hesaba erişim, diğer hesaplardan şifre sıfırlama olasılığı da dahil olmak üzere potansiyel olarak uzak idari hakları mümkün kılar.
Bernd, Desen Carla Columna ve Maria örneği
Raporuna göre, Schäfers BAMF'ye bildirdi, daha sonra otorite, diğer dört hesap Anna.Mustermann, Bernd_ Örneği, Carla-Columna ve Maria ile ilgili hesabı devre dışı bıraktı. BAMF'in hemen geri bildirimi yapılmadı, bu da daha fazla soruşturmaya yol açtı. Son olarak, otorite güvenlik sorunlarının çözüldüğünü doğruladı. Netzpolitik.org'a göre, ofis Federal Veri Koruma Otoritesini de bilgilendirdi. Schäfers, testler ve üretim sistemleri arasında net bir ayrım yapmanızı, hesap hijyenini uygulamak ve bu güvenlik boşluklarını önlemek için birden fazla faktöre kimlik doğrulama uygulamak önerir.
Güncelleme
05.03.2025,
22:07
Saat
Tim Philipp Schäfers'ın adı doğruydu.
(Mack)