Държавна агенция Електронно управление

Абсурдите с киберсигурността на държавата явно просто отказват да приключат. След като информационната инфраструктура на НАП беше пробита, сега се оказва, че на плачевно ниво от гледна точка на сигурност са системите и на Агенция „Митници“, Държавна агенция „Електронно управление“ (колко иронично), Агенцията по вписванията, на Модула за следене на оперативността на електронния обмен между институциите и на много други. За това как само с помощта на няколко заявки с търсачката на Google може да се хакнат системите на институциите разказа компютърен специалист, предава bTV.

Данаил Велев публикува във Facebook редица примери как нагледно могат да се получат не само личните данни, но и редица друга важна информация за редица хора.

Така, например, кампанията на Държавна агенция Електронно управление е с толкова слабо защитен сайт, че с минимално дописване на адреса се стига до съдържанието на компютъра, на който страницата е качена. Виждат се и паролите на администриращите я потребители, оставени в абсолютно незащитен вид.

Разбира се, че няма да ви хакнат. Защото не се налага. Сами си публикувате паролите за достъп.
Хайде да напишем паролите в изходния код. Защо да ползваме хеширане с посоляване на паролите? Така е по-лесно. Какво може да се обърка?
Накрая се оказа, че пропонентите на отворения код победиха – държавата отваря кода. Само че защо трябваше и паролите да публикува заедно с кода?
Да живее България – държавата с най-отворения код!
Danail Velev показа още един начин, по който лични данни на граждани (три имена, ЕГН, номер на банкова сметка) изтичат свободно през държавен сайт (публикувани са в Интернет).
Значи частните фирми трябва да опазват личните данни на гражданите, а държавните институции публикуват същите тези данни.
Частните фирми плащат глоби по #GDPR, а държавните институции – не.
Предлагам трите имена и ЕГН-то вече да не се разглеждат като лични данни, защото ги има в Интернет и държавата ги публикува.
Защо частните фирми да са длъжни да опазват тези данни след като държавните ги публикуват?
Валентин Стойков

Агенцията по вписванията също е застрашена от пробив, дори и от не много подготвени хакери, тъй като всеки потребител може да види всички плащания към нея заедно с личните и банковите данни на граждани и фирми.

Видим за външния свят се оказва и административният панел на системата на Агенция Митници, като на теория това дава възможност на всеки да се регистрира като администратор и да извършва промени в системата.

Достъпни за всички желаещи стават и данните за възлите за електронен обмен на всички държавни структури, включително тези в сферата на сигурността

Данните на българите продължават да изтичат на улицата, твърдят запознати. Според специалисти, пожелали анонимност, Велев не извършва престъпление като показва тези слабости, тъй като става въпрос за общодостъпни ресурси.

Държавна агенция „Електронно управление“
Единен портал за достъп до електронни административни услуги

И така това вече е ……………. някой забрави лотуса към европа
-Когато дойде John smith

Това обаче означава, че всеки програмист може да направи скрипт и да събере автоматично тези данни и така да изтегли, напр. цялата база.

bTV, които първи съобщиха за изобличените слабости, отбелязват, че сред реагиралите със смесица от изумление и искрена забава потребители е и обвиненият за кибератаката срещу НАП Кристиян Бойков, който очевидно отново е онлайн.

Коментари