Alunos da universidade de Ohio expostos a Hackers

28/06/2006 Written by Marcelo Almeida (Vympel)

ohio_fullA invasão do ban­cos de dados da uni­ver­si­dade de Ohio colo­cou a uni­ver­si­dade em uma situ­ação bas­tante con­strange­dora. Segundo uma audi­to­ria externa real­izada, dois servi­dores o ALUMINFO03 e SHSSRV1, foram inva­di­dos, e além das fal­has que tinha sido men­cionada (1 ano antes) tin­ham out­ras três fal­has de segu­rança.
No primeiro servi­dor foi rou­bado pelos hack­ers infor­mações pes­soais e de con­tatos de aprox­i­mada­mente 300.000 alunos, incluindo seguro social de 137.000 deles.
No segundo servi­dor usado pelo cen­tro de saúde Hud­son da uni­ver­si­dade de Ohio foram aces­sa­dos dados de 60.000 pacientes inclu­sive o número do seguro social.

Falha no primeiro Servi­dor:

A primeira falha de segu­rança neste banco de dados foi descoberta no dia 1° de março de 2005 e comu­ni­cada aos respon­sáveis pelo sis­tema. Nesta mesma data foram feitas análises que indi­cavam que já tinha ocor­rido roubo de dados de alunos. Como este servi­dor estava para ser desativo resolveram não cor­ri­gir a falha e man­daram desli­gar o servi­dor.
Por algum prob­lema de comu­ni­cação ou outro motivo ainda não esclare­cido o servi­dor ficou desli­gado ape­nas 10 dias sendo lig­ado nova­mente. E nova­mente sendo aces­sado por hack­ers que cole­taram mais infor­mações.
De 1° de fevereiro de 2006 até 11 de abril de 2006 este servi­dor foi usado para com­par­til­har músi­cas na inter­net e do dia 22 de fevereiro usado para atacar outro servi­dor da universidade… Falha no segundo servidor:

A primeira invasão ao servi­dor do cen­tro de saúde da uni­ver­si­dade data de 19 de dezem­bro de 2005. No começo de janeiro um admin­istrador de outro servi­dor infor­mou que o servi­dor SHSSRV1 estava ten­tado cole­tar infor­mações do servi­dor dele.
O inci­dente foi repor­tado a equipe de segu­rança de sis­temas da uni­ver­si­dade que tiraram o servi­dor da rede para anal­isar as pos­síveis fal­has que estavam sendo explo­radas.
Mas nova­mente este servi­dor foi colo­cado em rede sem uma maior pre­ocu­pação se todas as fal­has estavam cor­rigi­das.
Após estes inci­dentes foi feita uma audi­to­ria interna que segundo o relatório pode ter ocor­rido quase 24 invasões ao sis­tema sendo que em quase todas foram cole­ta­dos dados de alunos e fun­cionários.
Segundo o mesmo relatório as equipes que eram respon­sáveis pela rede e serviços de inter­net foram neg­li­gentes com as fal­has a eles repor­tadas.
A uni­ver­si­dade sus­pendeu Tom Reid, dire­tor de comu­ni­cação e serviços de rede e Todd Ache­son, ger­ente de serviços de inter­net, até que uma inves­ti­gação dis­ci­pli­nar esteja ter­mi­nada, de acordo com uma notí­cia da uni­ver­si­dade.
Eles foram aler­ta­dos de pos­síveis fal­has de segu­rança nos servi­dores da uni­ver­si­dade mas se pre­ocu­pavam com a per­for­mance dos servi­dores ou quanto pode­ria cair a per­for­mance dos mesmo em caso de um pen­test (teste de intrusão de sis­tema) e não com a segu­rança , rap­i­da­mente efe­t­u­aram alguns testes e não cor­ri­giriam todos as fal­has exis­tentes.
A direção da uni­ver­si­dade infor­mou que con­tra­tou uma equipe para anal­isar todos os servi­dores e pre­tende inve­stir aprox­i­mada­mente 4 mil­hões de dólares na parte segu­rança de sis­temas da uni­ver­si­dade para evi­tar que este tipo de prob­lema se repita.


Share this content: