印度中央中等教育委员会(CBSE)发布 2024 年 CBSE 第 10 级和第 12 级考试成绩时,官方网站发现了重大网络安全漏洞。The Cyber​​ Express发现的此漏洞可能允许未经授权的个人查看和更改学生的考试结果。

12班考试时间为2月15日至4月2日,10班考试时间为2月15日至3月13日,采用传统纸笔考试方式,共有3,860,051名学生参加。其中,有 1,621,224 名学生参加了 12 级考试,而参加 10 级考试的学生人数则多得多,为 2,238,827 名。周一,学生可以通过输入出生日期、卷号和卷号等详细信息在线访问他们的成绩。

但今天凌晨发现的安全漏洞可能会导致大规模 CBSE数据泄露,影响印度各地数百万学生。该漏洞于今天凌晨首次被注意到,当时学生及其家人应该可以安全地获取结果。CBSE 网站上的缺陷涉及管理凭据的暴露和 SQL 数据库系统中的技术配置错误,特别是在名为“Getcbse10_All_2024”的存储过程中。

对于普通人来说,这可能只是一个小故障,但它是一个重大的安全缺陷,为恶意行为者提供了操纵和滥用关键信息(包括结果)的机会。其后果是深远的,因为这种漏洞危及了无数学生的个人和学术数据,可能会影响他们未来的机会。

CBSE 2024 年结果:学生数据风险解释


网站上显示的代码消息源自与检索 CBSE(中等教育中央委员会)2024 年 10 级成绩相关数据的数据库查询。

“Getcbse10_All_2024”指的是数据库中的存储过程。存储过程是您可以保存和重用的准备好的 SQL 代码。在本例中,该程序可能旨在检索与 2024 年 CBSE 10 级结果相关的所有数据。

过程“Getcbse10_All_2024”需要一个名为“@admid”的参数,但在对该过程的调用中未提供该参数。 “@admid”可能代表“管理员 ID”或类似的标识符,应传递给过程才能正确执行。缺少此参数意味着该过程无法按预期运行,从而导致错误。

错误消息还包括连接字符串详细信息,这些详细信息对于连接到数据库至关重要,但切勿公开,因为它们可能会导致安全风险。

provider=MSOLEDBSQL:指定用于 SQL Server 的提供程序。 MSOLEDBSQL 是 SQL Server 的 Microsoft OLE DB 提供程序。

server=10.***.10.***:这是托管数据库的服务器的 IP 地址。知道服务器地址可能会允许未经授权的用户尝试连接到数据库。

Database=****结果**:这是数据库的名称。了解数据库名称有助于将查询和命令定向到正确的数据库。

uid=cbseresults24; pwd=******************** :这些是用于对数据库进行身份验证的凭据(用户名“uid”和密码“pwd”)。有了这些凭据,未经授权的用户可能会获得对数据库的完全访问权限,从而允许他们查看、修改或删除数据。

尽管暴露的数据存在重大风险,但人工智能驱动的威胁情报平台 Cyble 的研究人员指出,不完整的信息披露在一定程度上减轻了潜在的威胁。

“IP 地址是内部而非公开的,这意味着威胁行为者要提取信息或获得访问权限,他们需要采取 SQL 注入或其他方法等攻击行为。然而,这并没有减轻暴露的 ID 和密码的严重性,如果发现正确的服务器地址,这些信息仍然可能被利用,”研究人员解释道。

该错误消息不仅表明数据库查询执行中存在技术问题,而且还强调了潜在的漏洞。如果被精通数据库管理和权限升级的个人利用,此漏洞可能允许对数据库进行未经授权的访问。

这种未经授权的访问可能会导致各种安全风险,包括数据操纵、删除或用于网络钓鱼或勒索等恶意目的。

应立即采取措施保护数据库,包括更改数据库凭据、检查日志以检查未经授权的访问以及实施更好的安全实践,例如不在错误消息或日志中暴露敏感信息。

为什么 CBSE 很重要
中等教育中央委员会 (CBSE) 是印度著名的国家教育委员会,负责监管公立和私立学校。它隶属于印度政府教育部的直接管辖范围。

CBSE 为完成 10 年级和 12 年级的学生举办综合考试,这对于升入高等教育和职业道路至关重要。该委员会因其严格的课程而受到认可,并且在制定全国教育标准方面具有影响力。

CBSE 数据暴露的技术方面:潜在风险
CBSE 数据泄露中管理数据库 ID 和密码的暴露带来了多种潜在风险。虽然这些事件都没有发生,但如果不及时解决,此类关键凭据的暴露可能会导致严重后果。

1.未经授权的访问和控制:随着管理员凭据的暴露,未经授权的用户有可能获得对 CBSE 的 SQL 数据库的完全访问权限。这将使他们能够查看、复制和操作敏感数据,包括考试结果和学生个人信息。

2.数据操纵的风险:更改数据的能力是一个重大风险。尽管没有报告数据被更改,但这种可能性是存在的。未经授权的更改可能包括篡改考试结果或修改学生记录,这可能会严重破坏 CBSE 教育评估的完整性。

3.数据盗窃的威胁:暴露的凭据可能会被用来访问和提取敏感信息。这些数据可能包括学生和教职员工的个人详细信息,有被用于身份盗窃或欺诈等恶意目的的风险。

4.潜在的运营中断:虽然没有发生任何中断,但暴露的凭据可能会被用来破坏数据完整性或锁定合法用户,从而可能对 CBSE 的运营造成重大干扰并影响教育活动。

5.进一步攻击的基础:泄漏本身可能会促进进一步的攻击。通过管理访问,攻击者可以部署额外的恶意软件,建立后门以进行持续访问,或利用受损的数据库对连接的系统发起攻击。

文章原文链接:https://www.anquanke.com/post/id/296458