来自政府实验室的安全研究人员Mohammed Adel发现, 英国国防网关存在漏洞,可能会泄露军队的数据。
这名安全研究人员在英国国防网关中发现了漏洞,漏洞存在于一个仅供员工使用的应用程序中,它可能会被攻击者利用,然后以一个工作人员的身份潜入系统。
Mohammed Adel告诉我,他在一种过滤绕过攻击中利用了这个漏洞,并且能够在不使用@MOD.uk电子邮件地址的情况下进入英国国防网关,这个电子邮件地址通常被用于验证内部员工的身份。
黑客能够查看英国国防机构用于训练员工的材料,还能访问国防网关传递给员工的私人课程。
阿德尔还能够访问包括新闻和内部公告在内的其他信息。
这个国防网关是一个供所有军队共同使用的平台,它还允许英国国防人员在其中进行私人交流。
在下图中,研究者提供了证明漏洞存在的证据。
在我请求下,这名黑客发表了他的看法:
“这个漏洞可能会导致非常严重的后果,它甚至允许我查看敏感信息,包括训练军队时的数据,攻击者可以借此研究英国的国防策略,还可以利用漏洞来访问信息,并通过出售这些信息而获利。”
“我不能告诉你们我是如何找到了这个漏洞的,这是一个相当机密的问题。”