Uso de cookies para invadir o sistema de admissão de uma faculdade de tecnologia

O sistema de admissão SparK da Sri Krishna College of Engineering and Technology expôs 4.110 registros de estudantes. Isso ocorreu porque suas APIs de admissão careciam de autenticação, permitindo o acesso via cookies de login definidos manualmente. Ao criar dois cookies e extrair um GUID válido de um oficial de admissão de uma resposta de busca de estudante, pesquisadores conseguiram se passar completamente por um oficial e acessar dashboards sensíveis. Os dados expostos incluíam IDs, detalhes médicos, informações religiosas e étnicas, notas, dados de renda e documentos privados de estudantes e pais, todos acessíveis com apenas um navegador. Após uma divulgação coordenada através do CERT-IN da Índia, a SKCET retirou o site vulnerável do ar em uma semana e o restaurou posteriormente com a falha corrigida.