bTV откри пробив в сигурността на уеб страниците на приходната агенция и Комисията по досиетата. Оказва се, че редица страници в мрежата нямат защита срещу хакери.
С нашия екип се свърза човек, който за щастие няма лоши намерения и желае да предотврати евентуални атаки – при това не само срещу двете институции, споменати по-горе. Към момента те са уязвими даже от начинаещи хакери.
Искате ли едно досие?
На уебсайта на Комисията по досиетата се публикува информацията, свързана с принадлежността на различни лица към Държавна сигурност и всички, свързани с нея. Оказва се, че пропуск в сигурността на сайта прави редактирането на публикуваните данни почти безпрепятствено.
„В този сайт уязвимото е, че се използва за прехвърляне на файлове от самата комисия. Вижда се административният панел, което е недопустимо”, посочва Руслан и показва как може да се стигне до модула за публикуване на информация
„Тук можем да видим базата данни, да качим каквото си искаме на сайта, имената и паролите на администраторите. Ако искаме, може да вземем базата данни да ги променим - абсолютно всичко”, подчертава той.
Умишлено не показваме стъпките, по които това може да се случи. Затова потърсихме коментар от Комисията по досиетата, откъдето отказаха интервю, а само обясниха, че не виждат нищо притеснително пред вид факта, че информацията, която се публикувала на сайта, била публична.
Следваща спирка - сайтът на НАП
„Сайтът на НАП има голям проблем и може в полето за търсене да се инжектира HTML код, който да се изпълни. Един скрипт може да направи много неща, да записва всяко действие при търсене, например”, обяснява Руслан.
От НАП коментираха пропуска в сайта си. „Това само по себе си не може да навлече неприятности или злоупотреби, но ако някой направи поредица от други престъпления, например фишинг, тоест да изпраща имейли от наше име, може да се стигне до неблагоприятно състояние”, посочи говорителят Росен Бъчваров.
Пропускът с този сайт все пак не позволява достъп до данните на данъкоплатците.
И все пак, ако получите имейл от която и да е институция и някой иска да попълните личните си данни, винаги имайте едно наум.