പാസ്‌വേഡ് ഊഹിച്ചു കണ്ടെത്താം; പരീക്ഷാ വെബ്‌സൈറ്റിലെ സുരക്ഷാപാളിച്ചകള്‍ ഇങ്ങനെ | Facebook, security problem, educational website, Kerala, Latest News, News

തിരുവനന്തപുരം: പരീക്ഷാ വെബ്സൈറ്റില്‍ അനവധി സുരക്ഷാ പാളിച്ചകളെന്ന് കണ്ടെത്തല്‍. പാസ്‌വേഡ് ഊഹിച്ചു കണ്ടെത്താം, വിദ്യാര്‍ഥികളുടെ വിവരങ്ങള്‍ വിനിമയം ചെയ്യപ്പെടുന്നത് എന്‍ക്രിപ്ഷനില്ലാതെ, മുഴുവന്‍ വിവരശേഖരവും രണ്ട് ക്ലിക്കില്‍ ഡൗണ്‍ലോഡ് ചെയ്യാം തുടങ്ങിയവയാണ് സാങ്കേതികവിദ്യാഭ്യാസ വകുപ്പിന്റെ പരീക്ഷാ വെബ്‌സൈറ്റിലെ പാളിച്ചകള്‍.

ജനുവരിയില്‍ ഐടി മിഷന്‍ കണ്ടെത്തിയ ഗുരുതര ,സുരക്ഷാ വീഴ്ചകളാണ് മുകളില്‍ പറഞ്ഞിരിക്കുന്നത്. പ്രധാനമായും ആറ് സുരക്ഷാ പിഴവുകളാണു ജനുവരിയില്‍ കണ്ടത്തിയത്. ഇതില്‍ രണ്ടെണ്ണം അതീവഗുരുതരവും. കെല്‍ട്രോണില്‍ ഹോസ്റ്റ് ചെയ്തിരുന്ന വെബ്‌സൈറ്റ് കഴിഞ്ഞ ജൂണിലും എസ്എച്ച്11 എന്ന ഹാക്കര്‍ സംഘത്തിന്റെ ആക്രമണത്തിനിരയായിരുന്നു. കൂടാതെ പോളിടെക്‌നിക് കോഴ്‌സിലെ ഉള്‍പ്പടെ വിദ്യാര്‍ഥികളുടെ പരീക്ഷാവിവരങ്ങള്‍ സൂക്ഷിക്കുന്ന വിവരശേഖരം പുറത്താകാനുള്ള സാധ്യതകളുണ്ടെന്നും മുന്നറിയിപ്പുണ്ടായിരുന്നു. എന്നാല്‍ ഇതൊന്നും അധികൃതര്‍ കാര്യമാക്കിയില്ലെന്നു മാത്രമല്ല ഇതിനു വേണ്ടുന്ന നടപടികളും ആരും സ്വീകരിച്ചില്ല.

സൈബര്‍ സ്വോര്‍ഡ് എന്ന ഫെയ്‌സ്ബുക് പേജിലൂടെ വെബ്‌സൈറ്റിലെ പിഴവുകള്‍ വീണ്ടും ചൂണ്ടിക്കാട്ടി 10 ദിവസം കഴിയുമ്പോഴും നടപടിയെടുത്തിട്ടില്ല. പിഴവുകള്‍ ചൂണ്ടിക്കാട്ടി ഐടി മിഷന്‍ ജനുവരിയില്‍ സുരക്ഷാ ഓഡിറ്റ് റിപ്പോര്‍ട്ട് നല്‍കിയിട്ടും അധികൃതര്‍ അനാസ്ഥ തുടര്‍ന്നു. സാങ്കേതികവിദ്യാഭ്യാസ വകുപ്പിന്റെ പരീക്ഷാ വെബ്‌സൈറ്റ് താല്‍ക്കാലികമായി പിന്‍വലിക്കാന്‍ സര്‍ക്കാരില്‍നിന്ന് നിര്‍ദേശം നല്‍കിയിട്ടും വകുപ്പ് അധികൃതര്‍ ഇതിനെതിരെ പ്രതികരിച്ചിട്ടില്ല.

ഐടി മിഷന്‍ കണ്ടെത്തിയ പിഴവുകള്‍:

എസ്‌ക്യുഎല്‍ ഇഞ്ചക്ഷന്‍- വെബ് ഫോമുകളില്‍ ഡേറ്റയ്ക്കു പകരം ചില പ്രത്യേക കമാന്‍ഡുകള്‍ നല്‍കി വിവരങ്ങള്‍ ചോര്‍ത്തുന്ന എസ്‌ക്യുഎല്‍ ഇഞ്ചക്ഷന്‍ എട്ടു ലിങ്കുകളിലായി ഇരുപതോളം തവണ ഉപയോഗിക്കപ്പെട്ടു.

ക്രോസ് സ്‌ക്രിപ്റ്റിങ്- സുരക്ഷാ പഴുതുകളുപയോഗിച്ചു സ്ഥിരമായോ താല്‍ക്കാലികമായോ ഒരു സ്‌ക്രിപ്റ്റ് കടത്തിവിട്ട് ഉപയോക്താവിനെ കബളിപ്പിക്കാനുള്ള വിദ്യ സൈറ്റിലെ രണ്ട് ലിങ്കുകളില്‍.

പാസ്‌വേഡ് ഗസിങ് അറ്റാക്ക്- പാസ്‌വേഡ് ഊഹിച്ചു നിരവധി തവണ പരീക്ഷിക്കുന്നതു തടയാനുള്ള സുരക്ഷാസംവിധാനങ്ങളൊന്നും സൈറ്റിലുണ്ടായിരുന്നില്ല. പല തവണ ലോഗിന്‍ ചെയ്യാന്‍ ശ്രമിച്ചാല്‍ അവ റദ്ദാക്കാനുള്ള സംവിധാനം സാധാരണമാണ്.

എന്‍ക്രിപ്ഷന്‍- സുപ്രധാനമായ പരീക്ഷാ വിവരങ്ങള്‍ കൈമാറാന്‍ എന്‍ക്രിപ്ഷന്‍ സാങ്കേതികവിദ്യ ഉപയോഗിച്ചിട്ടില്ല.

വെബ്‌സൈറ്റിനുള്ളിലെ വിവരശേഖരം റൂട്ട് ഫോള്‍ഡറിലൂടെ വെറും ഒന്നോ രണ്ടോ ക്ലിക്ക് അകലത്തില്‍ ഡൗണ്‍ലോഡ് ചെയ്യാവുന്ന നിലയിലായിരുന്നു.