保加利亚的IT专家在公开展示幼儿园软件漏洞后被捕

保加利亚警方在IT专家Petko Petrov公开展示当地幼儿园所使用软件的安全漏洞后逮捕了他。

Petko Petrov利用软件的安全漏洞下载了保加利亚中部省份Stara Zagora的235543名公民的详细信息，而该省份总共才有333000名居民，他还在Facebook上发布了一个漏洞利用的视频。

Petkov在决定公开漏洞详情前，曾试图向开发该软件的公司和当地执法机构报告此事，但并没有收到回复。

视频网址：https://www.facebook.com/HEDWIN/videos/10220069244944719/

在上面所提及的视频中，该IT专家攻击了当地市政府的门户网站，其中涉及一项便民功能，父母可为小孩上幼儿园报名。而Petkov利用漏洞获取了大量保加利亚公民的数据。

而民政登记及行政事务署（GRAO）中存储了公民的大量敏感信息，包括姓名，地址，婚姻状况，死亡，血统，护照数据，国籍和亲属信息——约1050万市民的子女、兄弟姊妹。

该IT专家还在GitHUb上分享了利用代码。任何人都可以用此来进行攻击。

保加利亚当局于上星期五逮捕了Petkov，并在24小时后将其释放。

Mediapool网站发布的一篇文章显示：“6月26日，Petkov在社交网络上发布了一段视频，展示他成功地进入了政府系统，并在没有耗费什么精力的情况下得到了大约235000人的敏感数据。同日，市政府网站已禁止外部访问，市长解释说，这是为了防止更严重的情况发生。据他介绍，该系统是由保加利亚的“Information Service”公司开发的。”

市长Todorov说到：“我希望这个软件的开发商迅速就此问题给出解释，因为这涉及到存储了无数市民敏感信息的政府机构。他们必须说明漏洞是如何产生以及如何进行修补。他们必须把这个问题控制在可控范围内”。

在该漏洞被披露后，Stara Zagora的官员已经暂时下线了存在漏洞的软件，以免被黑客利用。

根据《保加利亚刑法》第319A条非法获取政府信息的法律，该专家可能面临1至3年的监禁，以及高达5000保加利亚列瓦（2900美元）的罚款。

Stara Zagora的市长还试图联系开发该软件的公司，但该公司尚未做出回应。该市长表示，软件开发公司必须无条件解决其软件的漏洞。

Petkov还警告，同样的软件也被保加利亚其他省份大量使用。

本文由白帽汇整理并翻译，不代表白帽汇任何观点和立场
来源：https://securityaffairs.co/wordpress/87775/breaking-news/kindergarten-software-flaw.html