captcha

Jūsų klausimas priimtas

Į VRK sistemą „įsilaužęs“ programuotojas: negalėjau tuo patikėti

Prie tūkstančių rinkėjų duomenis kaupiančio „Rinkėjo puslapio“ valdymo buvo galima prisijungti paprasčiau, nei sukurti naują elektroninio pašto dėžutę. Tokią saugumo spragą milžiniškus pinigus kainavusioje Vyriausiosios rinkimų komisijos (VRK) sistemoje pastebėjęs programuotojas 15min papasakojo, ką ir kaip aptiko.
BNS nuotr.
BNS nuotr.

Programuotojas Artūras, prašęs neminėti savo pavardės, skylę VRK informacinėje sistemoje aptiko rinkimų dieną. Jis teigia pats negalėjęs patikėti, kad „Rinkėjo puslapio“ administratoriumi galima tapti vos keliais pelės paspaudimais ir be jokių leidimų iš puslapį administruojančios įmonės ar pačios VRK. Tačiau įvyko būtent taip.

Pasielgė pilietiškai, o galėjo daug

Artūras po „Rinkėjo puslapį“ panaršyti nusprendę sekmadienio vakarą, pamatęs 15min publikaciją apie kitą saugumo spragą – sistemoje pasiekiamus anksčiau ją naudojusių rinkėjų asmens duomenis. Suvedęs standartinį puslapio administravimo formos adresą, jaunas vyras negalėjo patikėti savo akimis.

„Po straipsnio 15min apie tai, kad nutekėjo dalis rinkėjų duomenų, nutariau pasižvalgyti, ir, aišku, likau labai nustebęs, jog https://www.rinkejopuslapis.lt/admin apskritai prieinamas iš išorės. To tiesiog negali būti“, – 15min teigė VRK sistemos spragą atskleidęs programuotojas.

„Rinkėjo puslapio“ administratoriaus prisijungimo zonoje jis rado dar labiau neįtikėtiną dalyką – registracijos formą. O ją išbandęs, nustėro.

„Pastebėjau, kad greta prisijungimo formos siūloma registruotis (įvedant duomenis arba OpenId), tad pradžioje pamaniau, kad, galbūt ta viešai rinkėjams prieinama prisijungimo/registracijos forma. Tad užsiregistravau. Ir tik gavęs prisijungimus el. paštu supratau, kad čia jau labai rimta“, – tęsė Artūras.

Prisijungęs kaip „Rinkėjo puslapio“ administratorius, jis pamatė atsiveriančias galimybes. Paklaustas, ar sistemoje buvo prieiga prie rinkėjų asmens duomenų, pašnekovas teigė to netikrinęs – nes pamatė, kad ir taip gavo tai, ko neturėtų turėti.

„Suprasdamas, kad būtų negerai pamatyti tai, ko neturėčiau matyti, daugiau nenaršiau“, – sakė Artūras.

„Rinkėjo puslapyje“ jis galėjo iškrėsti ne vieną ir ne dvi šunybes. Čia VRK pasisekė. Artūras pasielgė pilietiškai ir nedelsdamas informavo VRK apie saugumo spragą. Anot programuotojo, jau netrukus prisijungimas prie „Rinkėjo puslapio“ administravimo nebebuvo viešai prieinamas.

Projekto kaina atrodo neadekvati

Jau pirmadienį su Artūru susisiekė Kibernetinio saugumo ir telekomunikacijų tarnybos (KSTT) direktoriaus pavaduotojas Rimtautas Černiauskas. Jam programuotojas pateikė visas savo „įsilaužimo“ į VRK sistemą detales. VRK patvirtina, kad tyrimas dėl saugumo spragos yra atliekamas kartu su KSTT, apie incidentą informuota ir Valstybinė asmens duomenų apsaugos inspekcija.

„Rinkėjo puslapis“ VRK kišenę slegia įspūdinga našta. 2013 m. pabaigoje su bendrove „Tieto Lietuva“ sudaryta sutartis maždaug už 1,2 mln. eurų. Šiemet dar vieną sutartį šiam projektui VRK sudarė su jau pagarsėjusia įmone „iTree Lietuva“ – kiek daugiau nei už pusę milijono eurų.

Paklaustas, kaip vertina tokią „Rinkėjo puslapio“ kainą, Artūras neslėpė abejojantis, kad ji atitinka kokybę.

„Žinoma, mano nuomone, ši suma yra neadekvačiai per didelė. Teko prisidėti prie kelių projektų su panašiais iššūkiais. Sąmatos net susumavus neprilygs“, – reziumavo Artūras.

Viešųjų pirkimų tarnyba antradienį nutarė pradėti tyrimą dėl VRK apsirūpinimo informacinėmis technologijomis.

Šaltinis www.15min.lt

Komentarai

Spausdami siųsti mygtuką sutinkate su Taisyklėmis ir atsakomybe

Tema: Seimo rinkimai 2016

Lietuvoje

 

Susiję įrašai

 
Visi įrašai
Kraunasi ...
 
GrojaraštisIrašaiKeisti
Kraunasi ...
  
VartotojasPašalinti
Kraunasi ...