Недавнее исследование обнаружило уязвимость на ряде порталов правительства города Мехико, связанных с борьбой с коррупцией. Эти порталы, в основном созданные во время администрации Мигеля Анхеля Мансерра и ставшие неактивными после перехода в 2018 году, могут подвергать конфиденциальную информацию риску, по словам Виктора Руиса, сертифицированного инструктора по кибербезопасности и основателя SILIKN.
По словам Руиса, уязвимость заключается в том, что, несмотря на то, что эти веб-сайты неактивны, они могут позволить раскрытие чувствительных данных, если серверы неправильно настроены на требование аутентификации. Эта ситуация может облегчить доступ любого пользователя к URL и манипуляцию с системой, предупреждал специалист через предупреждение.
Некоторые из затронутых порталов предназначены для борьбы с коррупцией, мониторинга процессов перехода правительства и предоставления информации о государственных работах. Такие сайты, как "Вместе против коррупции" и портал Генеральной контрольной службы, который позволял отслеживать заседания Комиссии по переходу, находятся среди уязвимых. Также включен портал работ Контрольной службы, который предоставлял детальную информацию о строительных проектах, контрактах и ходе работ.
Уязвимость возникает из-за использования платформы XAMPP на этих порталах без соответствующих настроек безопасности, объяснил Руис. При входе на страницы наблюдается экран приветствия XAMPP, показывающий версии установленных компонентов и доступ к административным инструментам, таким как phpMyAdmin, в результате чего информация становится публично доступной.
Инструктор отметил, что XAMPP предназначен для сред разработки, а не для общественных серверов без дополнительных мер безопасности, что может позволить выполнение вредоносных скриптов, несанкционированный доступ к базам данных и изменение файлов на сервере. Руис призвал власти проверить информацию и принять необходимые меры для защиты данных граждан города Мехико.
