保加利亚警方在IT专家Petko Petrov公开展示当地幼儿园所使用软件的安全漏洞后逮捕了他。
Petko Petrov利用软件的安全漏洞下载了保加利亚中部省份Stara Zagora的235543名公民的详细信息,而该省份总共才有333000名居民,他还在Facebook上发布了一个漏洞利用的视频。
Petkov在决定公开漏洞详情前,曾试图向开发该软件的公司和当地执法机构报告此事,但并没有收到回复。
视频网址:https://www.facebook.com/HEDWIN/videos/10220069244944719/
在上面所提及的视频中,该IT专家攻击了当地市政府的门户网站,其中涉及一项便民功能,父母可为小孩上幼儿园报名。而Petkov利用漏洞获取了大量保加利亚公民的数据。
而民政登记及行政事务署(GRAO)中存储了公民的大量敏感信息,包括姓名,地址,婚姻状况,死亡,血统,护照数据,国籍和亲属信息——约1050万市民的子女、兄弟姊妹。
该IT专家还在GitHUb上分享了利用代码。任何人都可以用此来进行攻击。
保加利亚当局于上星期五逮捕了Petkov,并在24小时后将其释放。
Mediapool网站发布的一篇文章显示:“6月26日,Petkov在社交网络上发布了一段视频,展示他成功地进入了政府系统,并在没有耗费什么精力的情况下得到了大约235000人的敏感数据。同日,市政府网站已禁止外部访问,市长解释说,这是为了防止更严重的情况发生。据他介绍,该系统是由保加利亚的“Information Service”公司开发的。”
市长Todorov说到:“我希望这个软件的开发商迅速就此问题给出解释,因为这涉及到存储了无数市民敏感信息的政府机构。他们必须说明漏洞是如何产生以及如何进行修补。他们必须把这个问题控制在可控范围内”。
在该漏洞被披露后,Stara Zagora的官员已经暂时下线了存在漏洞的软件,以免被黑客利用。
根据《保加利亚刑法》第319A条非法获取政府信息的法律,该专家可能面临1至3年的监禁,以及高达5000保加利亚列瓦(2900美元)的罚款。
Stara Zagora的市长还试图联系开发该软件的公司,但该公司尚未做出回应。该市长表示,软件开发公司必须无条件解决其软件的漏洞。
Petkov还警告,同样的软件也被保加利亚其他省份大量使用。
本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场
来源:https://securityaffairs.co/wordpress/87775/breaking-news/kindergarten-software-flaw.html