官方英国税务局发现“严重”的安全漏洞

一位负责57天试图报告错误的专家说,英国税务局必须改善其处理网站安全问题。

研究人员称,Zemnmez发现HMRC网上税务服务有两个不同的缺陷。

他说,发现谁来报告问题比找到错误更具挑战性。

HMRC表示已经解决了这些问题,并且正在寻求改善人们联系的方法。

Zemnmez表示,利用这一缺陷可能会让攻击者查看或修改税务记录或从英国人收获关键细节。

他告诉英国广播公司,他说:“我花了几天时间才到达六个不同的政府社会媒体帐户,试图找到正确的地方去哪里,没有任何有意义的回应。

他补充说,英国的国家网络安全中心 - 通过情报联系的朋友进行联系 - 是帮助解决安全问题的关键。

共同的弱点由于他正在使用该网站来检查他的税收,Zemnmez接受了HMRC网站容易受到攻击的攻击。

他在其他网站上发现类似错误的专业知识和经验表明,HMRC登录系统与浏览器互动的方式使其易受到一些众所周知的攻击。

经过短时间的实验,他发现可以使用HMRC网站作为“转发服务”,并将受害者发送到任何攻击者想要的站点。

“这可以用来哄骗受害者揭示财务信息,凭据和用户名和密码,”他说。

他补充说,这种类型的错误被称为开放式重定向漏洞,是许多不同网站发现的常见弱点。

Zemnmez说,第二个安全问题需要更长的时间才能发现,但是可能更具破坏性,因为如果被剥削,它可能会让攻击者控制受害者的信息,从而可能会让他们进行修改。

具有讽刺意味的是,他表示,易于受到严重错误的代码发现在用于数字指纹用户进行欺诈保护的网站脚本中。

他说,利用这个bug对于网络窃贼来说会更加棘手,他补充说,有兴趣攻击HMRC网站的人可能会使用更简单的方法让人们交出信息。

“非常令人沮丧”作为回应,HMRC发言人说:“HMRC已经解决了本文提到的漏洞,我们定期对我们的系统进行测试。”

他补充说:“HMRC非常认真地保护客户数据,并大量投资来保护我们的服务。”

泽梅梅斯说,尽管找到安全问题是直截了当的,但跟踪政府中有助于解决这些问题的人员被证明是“非常令人沮丧”的。

Zemnmez在试图报告他发现的问题时发现,英国政府确实执行一个“负责任的披露”计划,寻求有关政府网站和服务问题的报告。

不过,他说,这是邀请只限于其有用性的事实。

“我明白这些计划涉及的重大困难,”他告诉英国广播公司。“如果一个方案向公众开放,在没有非常重要和有力的准备的情况下披露问题,它很快就会被无效的报告的数量完全压倒了。

尽管如此,他表示,政府应该有办法处理经验丰富的安全专家的报告,让他们知道最敏感的官方系统的问题。

HMRC表示,它正在与非公务员合作委员会密切联系,了解其处理安全的方式。

它说:“HMRC正在与NCSC合作,确保有一个路由来向政府报告安全漏洞。

“HMRC还致力于确保内部流程更加精简,以确保及时联系报告漏洞。”

所载文章来源于网络,如果不慎侵犯了您的权益,请联系我们删除! 站长支持:

Copyright © 2012 - 2016 All Rights Reserved 福建新闻网地方频道网 版权所有