Уязвимости на сайте олимпиады МИФИ позволяют хакеру стать победителем

Татьяна Никитина 18 Января 2021 - 13:37

Домашние пользователи

...

На сайте org.mephi.ru найдены уязвимости, использование которых позволяет участнику олимпиады «Росатом» заранее получить задачи, изменять ответы, а также получить доступ к сессиям и данным других пользователей. В МИФИ признали наличие ошибок в коде, временно закрыли сайт и ведут работы по поиску и латанию других брешей на портале.

В этом году из-за COVID-19 физико-математическая олимпиада школьников проводится в МИФИ онлайн. Участие в этом состязании дает старшеклассникам шанс попасть в вуз без вступительных экзаменов.

Уязвимости, о которых стало известно «Известиям», классифицируются как «внедрение SQL-кода» (SQLi) и «межсайтовый скриптинг» (XSS). Взлом сайта МИФИ через их эксплойт теоретически позволяет хакеру изменить результаты олимпиады в свою пользу.

Атаку на org.mephi.ru через цепочку уязвимостей, которую эксперты признали рабочей, можно провести за одну секунду. Взломщику достаточно заменить всего три символа в коде, и он получит доступ ко всем персональным данным олимпиады, а также сможет выгрузить задания.

Причиной появления уязвимостей SQLi и XSS обычно является неадекватная проверка / санация данных, вводимых пользователем. К сожалению, такие ошибки в проектах до сих пор широко распространены.

«При разработке сайтов и приложений вопросы безопасности, увы, всегда на втором плане, — сетует глава ИБ-отдела «СёрчИнформ» Алексей Дрозд, комментируя находку для «Известий». — В первую очередь стоит вопрос функциональности. И хотя принцип secure by design часто декларируется разработчиками, на деле реализуется в лучшем случае по остаточному принципу».

Вместе с тем эксперт считает, что риска массового использования этих уязвимостей нет. МИФИ же, скорее всего, понесет имиджевые потери.

Получив информацию о находках, ИБ-служба МИФИ подтвердила наличие ошибок в коде используемых проектов.

«Информируем вас об оперативной реакции профильных служб университета на вышеуказанный сигнал редакции о том, что “сайт подвержен SQL-инъекциям и XSS-уязвимостям”, и о незамедлительной работе по выявлению потенциальных уязвимостей на портале НИЯУ МИФИ», — пишет представитель вуза в ответ на запрос «Известий».

Уязвимый сайт МИФИ в настоящее время находится вне доступа. На странице-заглушке размещено следующее сообщение: «Уважаемые школьники! На сайте org.mephi.ru ведутся технические работы, сайт временно недоступен. Срок завершения предварительных туров олимпиад при необходимости будет продлен».

Следующая главная новость »

Атаки на цепочку поставок: как защититься до компрометации?
Регистрируйтесь на эфир!

Яков Шпунт 22 Апреля 2026 - 08:58

Соответствие законодательству РФ Домашние пользователи Корпорации Яндекс

Яндекс.Облако обновило оферту: блокировки и удаление контента — без суда

Яндекс.Облако предупредило клиентов о том, что новая редакция оферты даёт провайдеру право блокировать доступ к информации или удалять её по решению уполномоченного государственного органа. При этом судебный акт или предписание правоохранительных органов для таких действий больше не требуются.

Об изменении пользовательских соглашений Яндекс.Облака сообщает ComNews со ссылкой на нескольких пользователей. По данным издания, провайдер уведомил их об изменениях в оферте, которые вступят в силу 28 апреля.

Поправки затрагивают пункты 7.2.1 и 7.2.2 оферты. Они регулируют порядок приостановки доступа к сервисам, а также блокировки или удаления контента, размещённого на ресурсах платформы. Если в предыдущих редакциях оператор услуг мог применять такие меры на основании судебного решения или предписания правоохранительных органов, то в новой версии документа речь идёт уже о требовании «уполномоченного лица».

По мнению источников издания на рынке, такие изменения могут быть связаны с подготовкой к исполнению запрета на размещение VPN-сервисов на ресурсах хостинг-провайдеров. Соответствующее требование включено во второй пакет антимошеннических мер, который сейчас обсуждается в Госдуме.

«"Яндекс" закрепляет некую упрощённую процедуру приостановки сервисов: теперь в компании не будут дожидаться официальных актов от госорганов, что обычно занимало длительное время, а смогут оперативнее реагировать на запросы "приближённых" организаций. Под подозрительной активностью действительно может пониматься работа VPN-серверов в инфраструктуре "Яндекса". Однако эта оговорка может быть направлена и против условных скамеров, которые злоупотребляют бесплатными кредитами и возможностями Yandex Cloud до прохождения полной идентификации и оплаты сервисов», – отметил в комментарии партнёр и руководитель практики Tech компании «Комплай» Сергей Сайганов.

Атаки на цепочку поставок: как защититься до компрометации?
Регистрируйтесь на эфир!