Предупреждения, коими полон этот пост, уже не столь актуальны, как в момент его написания. Посему оный оставлен здесь главным образом на правах хроники минувших событий.
Уважаемые абитуриенты МИФИ!
Возможно, вы уже видели на официальном сайте МИФИ чудовищных размеров ссылку на «Автоматизированную систему регистрации абитуриентов НИЯУ МИФИ».
Мы настоятельно рекомендуем вам НЕ регистрироваться в этой системе. По крайней мере, не указывать там данные о себе, которые вы бы не сообщили первому встречному. Таковыми, безусловно, являются паспортные данные, номера телефонов, домашний адрес и прочая личная информация.
Обнаруженные нами критические проблемы в системе безопасности могут позволить злоумышленникам получить ваши персональные данные и использовать их в личных целях, в том числе для мошенничества.
Также советуем абитуриентам, уже зарегистрировавшимся в системе, стереть все конфиденциальные данные из регистрационных форм.
Администрация официального сайта МИФИ проинформирована нами о наличии уязвимостей.
С уважением,
Администрация студенческого портала МИФИст.ру
Update (спустя пару часов). Ну вот, хоть ссылку с главной страницы убрали.
Ещё update (спустя ещё полчасика). А теперь и совсем прикрыли ресурс. Интересно, это уже навсегда?..
И ещё update (ещё через пару часов). Нет, не навсегда. Ресурс снова отрыли. Теперь используется зашифрованное интернет-соединение — SSL, все дела. К сожалению, дырища в безопасности от этого никуда не пропала, и всё написанное этажом выше нисколько не потеряло своей актуальности.
На следующий день, около 13:30. Ссылку снова вернули на место. Маразм крепчал, попкорн кончался.
Спустя ещё пару часов. Ссылку убрали, сервис закрыли. Хватит ржать уже, не видите — люди работают!
Полтора часа спустя. Ссылки нет, но сервис снова работает. Неподписанный SSL — это, конечно, всё ещё далеко не совсем айс, но Главная Весьма Доставлявшая Дырка, кажется, заштопана.
24 июня, 10:45. Майн готт...
Кто-нибудь там уже сделает, наконец, так, чтобы получение доступа к чужому аккаунту занимало хотя бы больше двух минут?!
Час спустя. Во-о-о-т, другое дело, и эта дырка заколочена.
Других явных уязвимостей системы обнаружить пока не удаётся.
P.S. Да, кстати, вопрос в зал. Чисто так, ради интереса. Есть тут в числе присутствующих абитуриентов те, кто хочет поступать на факультет Информационной, так сказать, безопасности МИФИ?
Факультет Б имеет и другие проблемы. Старая телефонная станция МИФИ давно сбоит. В результате те, кто звонят на факультет Б, часто попадают к нам. Уж сколько лет мы пытались обратить их внимание... Если такой факультет не может обеспечить себе нормальную телефонную связь, то что говорить о безопасности данных?