Инсталираха допълнителна защита на хакнатия софтуер в община Стара Загора
Фирма "Информационно обслужване" АД, която е автор на софтуерната система за прием в детските заведения на Стара Загора, изпрати официално становище до общината за резултатите от анализа на платформата след показното й хакване преди дни от програмиста Петко Петков.
Анализът на атаката показва, че Петков е използвал възможността с въвеждане само на едно ЕГН в сайта на община Стара Загора да се получи обратна информация от локалната база данни "Население" за трите имена и постоянния адрес на лицето, носител на въведения единен граждански номер. Атакуващият използвал създадена от него програма, чрез която генерирал множество последователни ЕГН-та, които изпратил като заявки към системата и в резултат получил имената и адресите на около 230 000 жители на Старозагорска област.
Петков е публикувал изходния код на програмата си GitHub за извличане на данни с подробни указания как се работи с нея на адрес https://github.com/fakedob/grao. Програмистът описва в 4 стъпки как се използва софтуерния инструмент.
Накрая трябва да се изчака между 6 и 10 часа, за да се извлекат търсените данни, тъй като системата търси всички възможни ЕГH-та от 1 януари 1890 г. до днес, а след това валидира всички съществуващи записи в платформата и ги подрежда в стройна колекция, обяснява той.
В края на указанията си Петко Петков изрично предупреждава:
"!!! ВАЖНО ПРЕДИ ДА ПРОДЪЛЖИШ !!! Цялото репо и информация споделена тук е свободна за ползване под всякаква форма - копиране, надграждане, променяне с цел надграждане или други цели, както и споделяне. Използването на споделената информация за цели, различни от обучителни, с цел експеримент и/или да защитите собствена платформа, вероятно е в противоречие с редица закони, с които не съм запознат. Не използвайте скрипта с цел атака на сайтове! Аз не нося отговорност за вашите действия. Използвайки го се съгласявате с тези условия. !!! УБЕДЕТЕ СЕ, ЧЕ СТЕ АБСОЛЮТНО СИГУРНИ В ДЕЙСТВИЯТА СИ И ПОМИСЛЕТЕ ДОБРЕ ПРЕДИ ДА ПРОДЪЛЖИТЕ !!!"
От „Информационно обслужване“ са извършили промени в интерфейса на платформата като са добавили допълнителна функционалност – търсенето по ЕГН да става в комбинация със съвпадащо първо име на лицето. Инсталацията е сканирана за уязвимости и новата версия вече е инсталирана в общината, а достъпът на потребителите е подновен. „Извършеният преглед на сигурността на системата показа, че не е идентифициран достъп до данните, поддържани от самата система и няма неоторизирани промени в базата данни“, се казва още в становището на „Информационно обслужване“ АД.
Вчера, 28 юни, Петко Петков беше задържан за 24 часа, а прокуратурата образува досъдебно производство срещу неизвестен извършител за неоторизирано проникване в електронната система на община Стара Загора. Обяснението на програмиста беше, че е направил демонстративно проникване в системата, за да посочи нейните слабости и те да бъдат отстранени, а не за да злоупотреби с извличане на данни.