Людина, яка видала себе за студента в Сінгапурі, оприлюднила публічну документацію, яка свідчить про слабку безпеку в широко популярній шкільній службі керування мобільними пристроями під назвою Mobile Guardian, за кілька тижнів до того, як кібератака на компанію призвела до масового знищення учнівських пристроїв і широкомасштабних потрясінь.
У електронному листі до TechCrunch студент, який відмовився назвати своє ім’я, побоюючись судового покарання, сказав, що повідомив про помилку уряду Сінгапуру електронною поштою наприкінці травня, але не міг бути впевнений, що помилку коли-небудь виправили. Уряд Сінгапуру повідомив TechCrunch, що помилку було виправлено до кібератаки Mobile Guardian 4 серпня, але студент сказав, що помилку було настільки легко знайти, що зловмисник не міг її використати, тому він боїться, що існують інші вразливості.
Британська компанія Mobile Guardian, яка надає програмне забезпечення для керування пристроями учнів тисячам шкіл по всьому світу, розкрила злом 4 серпня та закрила свою платформу, щоб заблокувати зловмисний доступ, але не раніше, ніж зловмисник скористався доступом для віддаленого видалення тисяч облікових записів. учнівські пристрої.
Через день студент опублікував деталі уразливості, які він раніше надіслав до Міністерства освіти Сінгапуру, основного клієнта Mobile Guardian з 2020 року.
У дописі на Reddit студент сказав, що недолік безпеки, який він виявив у Mobile Guardian, надає будь-якому користувачеві «суперадміністратора», який увійшов у систему, доступ до системи керування користувачами компанії. За словами учня, маючи такий доступ, зловмисник може виконувати дії, призначені для шкільних адміністраторів, включаючи можливість «перезавантажити особистий навчальний пристрій кожної людини», сказав він.
Студент написав, що повідомив про це в міністерство освіти Сінгапуру 30 травня. Через три тижні міністерство відповіло студенту, заявивши, що недолік «більше не викликає занепокоєння», але відмовилося поділитися з ним більш детальною інформацією, посилаючись на «комерційну делікатність», згідно з електронним листом, який бачив TechCrunch.
Після звернення до TechCrunch міністерство підтвердило, що воно отримало повідомлення про помилку від дослідника безпеки та що «вразливість була виявлена в рамках попереднього аудиту безпеки та вже була виправлена», за словами прес-секретаря Крістофера Лі.
«Ми також підтвердили, що виявлений експлойт більше не застосовний після виправлення. У червні незалежний сертифікований тестувальник проникнення провів подальшу оцінку, і такої вразливості не було виявлено», – сказав речник.
«Однак ми усвідомлюємо, що кіберзагрози можуть швидко розвиватися та виявлятися нові вразливості», — сказав речник, додавши, що міністерство «серйозно ставиться до таких розкриття вразливостей і ретельно їх досліджуватиме».
Помилка, яку можна використовувати в будь-якому браузері користувача
Студент описав цю помилку TechCrunch як уразливість підвищення привілеїв на стороні клієнта, яка дозволяла будь-кому в Інтернеті створити новий обліковий запис користувача Mobile Guardian із надзвичайно високим рівнем доступу до системи, використовуючи лише інструменти свого браузера. Це сталося через те, що сервери Mobile Guardian нібито не виконували належних перевірок безпеки та не довіряли відповідям браузера користувача.
Ця помилка означала, що сервер можна було обманом змусити прийняти найвищий рівень доступу до системи для облікового запису користувача, змінивши мережевий трафік у браузері.
TechCrunch отримав відео — записане 30 травня, у день викриття — яке показує, як працює помилка. На відео показано, як користувач створює обліковий запис «суперадміністратора», використовуючи лише вбудовані інструменти браузера, щоб змінити мережевий трафік, що містить роль користувача, щоб підвищити доступ цього облікового запису з «адміністратора» до «суперадміністратора».
На відео показано, як сервер приймає змінений мережевий запит, а коли він увійшов як новий обліковий запис користувача «суперадміністратора», він надав доступ до інформаційної панелі зі списками шкіл, зареєстрованих у Mobile Guardian.
Генеральний директор Mobile Guardian Патрік Лоусон не відповів на численні запити про коментарі до публікації, включаючи питання про звіт про вразливість студента та про те, чи компанія виправила помилку.
Зв’язавшись з Лоусоном, компанія оновила свою заяву таким чином: «Підтверджено, що внутрішні та сторонні розслідування попередніх уразливостей у платформі Mobile Guardian усунені та більше не становлять ризику». У заяві не повідомляється, коли попередні недоліки були усунені, а також не виключається зв’язок між попередніми недоліками та серпневою кібератакою.
Це другий інцидент безпеки, який стався Mobile Guardian цього року. У квітні Міністерство освіти Сінгапуру підтвердило, що портал управління компанією було зламано, а особиста інформація батьків і шкільного персоналу сотень шкіл Сінгапуру була скомпрометована. Міністерство пояснило порушення не вразливістю систем Mobile Guardian, а не вразливістю її систем.
Чи знаєте ви більше про кібератаку Mobile Guardian? Ви постраждали? Зв’яжіться З цим журналістом можна зв’язатися в Signal і WhatsApp за номером +1 646-755-8849 або електронною поштою. Ви можете надсилати файли та документи через SecureDrop.
