Van geneeskunde tot productie van Cachaça: Begrijp hoe Tricksters de vijand 'voor de gek hield'

Afgelopen dinsdag (31/01) publiceerde TecMundo nieuws over de zaak van Tereza Gayoso, die zijn account op het INEP-portaal had gekaapt vanwege het fragiele wachtwoordherstel-systeem. Ze beweert zich te hebben ingeschreven voor medicijnen bij SISU, maar ontdekte dat indringers haar aanzetten om deel te nemen aan de Cachaça Production-cursus aan een instelling in het binnenland van Minas Gerais. Deze en andere gevallen van studenten met een handicap zijn al in handen van de federale politie, maar we besloten u uit te leggen hoe dit zou zijn gebeurd.

Voordien moet echter worden uitgelegd dat we niet kunnen bevestigen wie de schuld van de zaak heeft. Er zijn aantijgingen tegen groepen op Facebook zoals "Panelinha do Bananal" en "Ilha da Macacada", maar TecMundo heeft contact opgenomen met beide, die elke deelname ontkenden. Er is zelfs alleen bewijs tegen een beschuldigde derde: een forum genaamd "55chan", bestaande uit anonieme gebruikers.

Gebruikers van dit forum zouden het falen van het INEP-portaal hebben ontdekt en ermee hebben ingestemd om het te gebruiken om de Enem-cursusopties voor studenten te wijzigen op de dag vóór de deadline voor de systeemwijziging. Dat wil zeggen, de trollen besloten studenten pijn te doen op een moment dat ze de situatie niet meer konden omkeren, omdat SISU na 27/01 geen verdere wijzigingen in cursusopties toestond.

Een gemakkelijk te voorkomen storing

Het is interessant om op te merken dat hoewel hackers inderdaad een misdrijf hebben gepleegd en studentenaccounts op de INEP-portal hebben gehackt, de website van het instituut het moeilijk maakt voor kwaadwillende mensen om te handelen. Een persoon die zijn portaalwachtwoord kwijt is, kan dit herstellen door eenvoudig een formulier in te vullen met openbare gegevens over zichzelf.

De actie werd hoogstwaarschijnlijk mogelijk gemaakt door CADSUS

De site vraagt alleen om sofinummer, geboortedatum, volledige naam, moedersnaam en stad / staat waar u woont. Deze details kunnen eenvoudig worden verkregen door sociale netwerken en consumentenconsultatiesystemen te scannen. Echter, als gebruikers van 55Chan de schuld krijgen, is de actie hoogstwaarschijnlijk mogelijk gemaakt door CADSUS.

In de onderstaande schermafbeeldingen ziet u duidelijke citaten uit het SUS-registratiesysteem, dat al lange tijd een afgestempelde hackerdatabase is. TecMundo heeft deze situatie zelfs gemeld, maar blijkbaar heeft het ministerie van Volksgezondheid het probleem nog niet opgelost en zijn platformwachtwoorden en logins vrijelijk verkocht en gedeeld op internet.

Van geneeskunde tot productie van Cachaça: Begrijp hoe Tricksters de vijand 'voor de gek hield'

INEP had deze situatie met een eenvoudige beveiligingsactie kunnen voorkomen

Criminelen kunnen vrijwel alle persoonlijke gegevens van een Braziliaanse burger op CADSUS verkrijgen en alle informatie die de INEP-website nodig heeft om een wachtwoord te achterhalen, is aanwezig.

Nog eenvoudiger: alle gegevens worden op de identiteitskaart van de student gestempeld. Als hij het document was kwijtgeraakt, had hij heel gemakkelijk het slachtoffer van een dergelijke aanval kunnen zijn.

INEP had deze situatie echter met een relatief eenvoudige beveiligingsactie kunnen voorkomen: stuur een e-mail ter bevestiging van de wachtwoordwijziging naar de student in plaats van hem een nieuwe te laten maken door enkele gegevens te controleren. Met alleen deze procedure konden hackers geen toegang meer krijgen tot accounts zonder ook de e-mail van de kandidaat te moeten hacken.

Wat INEP zegt

We hebben de instelling op de hoogte gebracht van het probleem en gemeld dat het moest worden verholpen.

TecMundo nam afgelopen maandag (30) contact op met INEP (Nationaal Instituut voor Onderwijsstudies en Onderzoek) na ontvangst van een klacht van een anonieme bron over het gebrek aan beveiliging op het INEP-portaal.

We hebben de instelling op de hoogte gebracht van het probleem en gemeld dat het dringend moest worden opgelost. Een dag later verschenen de gevallen van studenten die hierdoor schade hadden geleden. Daarom geven we de casus van student Tereza Gayoso door, die werd onthuld in de online versie van het tijdschrift Época .

INEP gaf gisteren (02/02) slechts een objectieve terugkeer naar onze verklaring, waarin stond dat het huidige management dat de instelling controleert alleen de processen volgde die door het vorige management waren aangepast.

“[…] Het is belangrijk om te benadrukken dat het huidige management bij het overnemen van INEP in mei 2016 reeds het Enem 2016-aanvraagproces heeft ontdekt, evenals de respectieve aankondiging die is gepubliceerd op basis van procedures en routines die in eerdere edities zijn aangenomen. . In deze zin heeft het huidige management de toepassing van het examen met de grootst mogelijke professionaliteit, veiligheid en toewijding opgevolgd, zelfs in het licht van de politieke situatie van het land, ”zei het persbureau van het instituut.

We hebben de betreffende aankondiging echter geraadpleegd op de eigen website van INEP en het gedeelte van het document gevonden dat betrekking heeft op wachtwoordherstel. Daarin was het mogelijk om te beseffen dat INEP geen eigen regels volgde voor de realisatie van Enem 2016.

“5.3.1 Wachtwoordherstel vindt plaats op de website van de deelnemer op http://Enem.inep.gov.br/participante en verzonden per e-mail of mobiel, via sms, door de deelnemer zelf geïnformeerd op het moment van registratie. ”, Staat er in de aankondiging.

Als dit inderdaad de procedure op de pagina was geweest, die geen sms of e-mail naar de deelnemer met het nieuwe wachtwoord verzendt, zouden de gevallen van studenten met gekaapte accounts niet zijn gebeurd.

INEP zegt ook dat het werkt aan nieuwe beveiligingsprocedures om deelnemers te beschermen, maar is niet van plan deze de komende dagen te implementeren. "Het huidige management beschouwt [het systeem als onveilig] en werkt aan verbetering van deze procedure, onder andere voor de volgende examenaanvraag."

U hoeft geen hacker te zijn

TecMundo sprak ook met virtuele beveiligingsexperts, zodat zij de zaak konden evalueren en hun mening konden geven over het wachtwoordherstelsysteem op de INEP-portal. Volgens hen hoef je geen hacker te zijn om in te breken op het account van een Enem-deelnemer.

“In een wereld die steeds meer verbonden is, kan elke kwaadwillende persoon gemakkelijk de persoonlijke informatie van een gebruiker - zoals zijn sofinummer, geboortedatum en de naam van de ouder - vinden in de online omgeving (bijvoorbeeld sociale netwerken en zoeksites) en, van daaruit toegang tot het privé-account [op de INEP-portal]. Voor dit wachtwoorduitwisselingssysteem is geen kwaadaardige expertise vereist ”, aldus PSilfe-beveiligingsmanager Emilio Simone.

... het is noodzakelijk om de beveiliging van dit portaal dringend te versterken ...

Hij voerde verder aan dat de veiligheid van dit portaal dringend moet worden versterkt, vooral omdat het een belangrijk overheidsplatform is.

We hebben Simone gevraagd hoe de instelling het probleem moet aanpakken, en hij toonde een eenvoudige oplossing die in feite vrijwel hetzelfde is als de Enem 2016 Public Notice vereiste dat deze moest worden toegepast.

“Een alternatief voor het verbeteren van de beveiliging van dergelijke systemen zou zijn om een tijdelijk wachtwoord naar de geregistreerde e-mail te sturen. Om toegang te krijgen tot het platform, zou de gebruiker dus zijn persoonlijke e-mail moeten hacken om het wachtwoord te wijzigen, wat al als een verbetering van de beveiliging zou fungeren, "zei hij.

Paginacodering

Een ander beveiligingslek, afgezien van dit mislukte wachtwoordherstel, is dat de INEP-portal geen codering op zijn pagina gebruikt om gegevensverkeer uit te voeren. De site werkt op het oude, onveilige HTTP-protocol, niet op HTTPS, de nieuwe standaard die wordt gebruikt op platforms waarvoor gebruikersauthenticatie is vereist.

Zonder HTTPS kan een crimineel uw WiFi-netwerk binnendringen en alle gegevens die u verzendt en ontvangt op de INEP-website met weinig moeite onderscheppen. Als u toegang hebt vanaf een openbaar netwerk, zoals vanuit een winkel of zelfs een huis, is onderschepping nog eenvoudiger, omdat de hacker niet de moeite hoeft te nemen om in te breken in het lokale netwerk. gemakkelijk toegankelijk zijn. "Het verzenden van gevoelige informatie via niet-gecodeerde protocollen is een groot risico, " zei Simone.

Kan jij iets doen?

Als de crimineel toegang heeft tot CADSUS of een ander platform met persoonlijke gegevens van Braziliaanse burgers, is de student die de Enem heeft verstrekt vrijwel weerloos. Als de crimineel uw naam kent, kan hij of zij uw sofi-nummer, geboortedatum, woonplaats en de naam van uw ouders opzoeken in CADSUS. Hierdoor kan hij zijn wachtwoord wijzigen en elke actie uitvoeren op de INEP-portal.

Als de crimineel toegang heeft tot CADSUS, is de student die de Enem heeft verstrekt vrijwel weerloos.

Aangezien de registratie voor SISU al is afgesloten, is er op dit moment niet veel te doen, maar de inbreuk op de beveiliging is nog steeds open. Als een student zich echter wil aanmelden voor een tweede gesprek, kan hij of zij de kans missen, omdat een hacker zijn of haar geregistreerde e-mailadres kan wijzigen en kan voorkomen dat de persoon meldingen van INEP ontvangt.

Natuurlijk is er de mogelijkheid om de toegang tot het account eenvoudig te hervatten, net zoals hackers het hebben gekaapt, maar men moet alert zijn en vaak inloggen om ervoor te zorgen dat alles klopt.

Zonder rekening te houden met de mogelijkheid dat de crimineel toegang heeft tot CADSUS, zijn er enkele voorzorgsmaatregelen die u kunt nemen om te voorkomen dat u slachtoffer wordt. De medewerkers van Avast gaven ons “vier adviezen” om door te geven aan studenten. Bekijk het eens:

Pas op voor sociale netwerken : teveel delen is gevaarlijk. Controleer de privacy-instelling van uw sociale media-accounts en probeer ze altijd te beschermen;

Scan uw router : het volstaat niet om uw pc te scannen op malware en virussen, omdat een hacker ook uw router kan aanvallen, uw DNS kan kapen en u naar nepwebsites kan brengen. Doe dit met behulp van een antivirus;

Gebruik VPN op openbaar internet : u moet uw gegevens coderen wanneer u zich in een lan house bevindt of gratis internet op openbare plaatsen gebruikt, anders zijn al uw gegevens door de hacker toegankelijk als dat netwerk wordt gehackt. Gebruik in dergelijke gevallen altijd een Virtual Private Network (VPN).

Pas op voor social engineering-aanvallen : als iemand u een e-mail heeft gestuurd met het verzoek om uw persoonlijke gegevens en veelbelovend geld of dreigt u aan te klagen of uw naam aan te nemen bij bijvoorbeeld Serasa, wees dan verdacht. Persoonlijke gegevens mogen nooit online worden gedeeld.

Het beveiligingsbedrijf beveelt zelfs aan dat u sterke wachtwoorden maakt voor alle typen webplatformaccounts; maar in het geval van het INEP-portaal maakt het niet zoveel uit, omdat het wachtwoord helaas eenvoudig kan worden gereset.

Via TecMundo.

Van geneeskunde tot productie van Cachaça: Begrijp hoe Tricksters de vijand 'voor de gek hield'

Een gemakkelijk te voorkomen storing

Wat INEP zegt

U hoeft geen hacker te zijn

Paginacodering

Kan jij iets doen?

Christian Grey wil Italiaans voetbalteam kopen

Drijvende mensen integreren openbare installatie door Argentijnse kunstenaar

'It: The Thing': The Scariest Real-Life Clown Than Pennywise

Boy breekt in gevecht om zus te verdedigen die hij dacht te vangen

NASA brengt nieuwe collectie Jupiter-foto's uit - en ze zijn geweldig

Waarom gaan dingen op sommige heuvels omhoog in plaats van omlaag?Hot

Scarlett Johansson toont bovenmenselijke krachten in Lucy's trailerHot

Vliegtuigpiloot gebruikt GPS-tracking en tekent een enorme penis op de Amerikaanse kaartHot

Eng: ongecontroleerde roltrap doet toeristen in Rome pijnHot

Voel je je boos en nerveus? Probeer de lichtintensiteit te verlagen

10 van de meest verbazingwekkende werknemers in Disney-parken

Batman werd tegengehouden door de politie en moest het uitleggen

Disc met inscripties van 4000 jaar geleden is nog steeds een mysterie voor archeologen

Voetafdrukken suggereren dat tyrannosauriërs sociale dieren waren

Reactie op rode haarpijn verschilt van andere mensen

7 vreselijke doden van mensen die zich niet aan hun smartphones hebben gehouden