2016 10 12 /16:09

Į VRK sistemą „įsilaužęs“ programuotojas: negalėjau tuo patikėti

Prie tūkstančių rinkėjų duomenis kaupiančio „Rinkėjo puslapio“ valdymo buvo galima prisijungti paprasčiau, nei sukurti naują elektroninio pašto dėžutę. Tokią saugumo spragą milžiniškus pinigus kainavusioje Vyriausiosios rinkimų komisijos (VRK) sistemoje pastebėjęs programuotojas 15min papasakojo, ką ir kaip aptiko.
Zenonas Vaigauskas
Zenonas Vaigauskas / Irmanto Gelūno / BNS nuotr.

Programuotojas Artūras, prašęs neminėti savo pavardės, skylę VRK informacinėje sistemoje aptiko rinkimų dieną. Jis teigia pats negalėjęs patikėti, kad „Rinkėjo puslapio“ administratoriumi galima tapti vos keliais pelės paspaudimais ir be jokių leidimų iš puslapį administruojančios įmonės ar pačios VRK. Tačiau įvyko būtent taip.

VRK trečiadienį popiet pranešė, esą spraga buvo, bet nepavojinga – esą Artūras negalėjo daryti poveikio „Rinkėjo puslapio“ turiniui.

Pasielgė pilietiškai, o galėjo daug

Artūras po „Rinkėjo puslapį“ panaršyti nusprendę sekmadienio vakarą, pamatęs 15min publikaciją apie kitą saugumo spragą – sistemoje pasiekiamus anksčiau ją naudojusių rinkėjų asmens duomenis. Suvedęs standartinį puslapio administravimo formos adresą, jaunas vyras negalėjo patikėti savo akimis.

„Po straipsnio 15min apie tai, kad nutekėjo dalis rinkėjų duomenų, nutariau pasižvalgyti, ir, aišku, likau labai nustebęs, jog https://www.rinkejopuslapis.lt/admin apskritai prieinamas iš išorės. To tiesiog negali būti“, – 15min teigė VRK sistemos spragą atskleidęs programuotojas.

„Rinkėjo puslapio“ administratoriaus prisijungimo zonoje jis rado dar labiau neįtikėtiną dalyką – registracijos formą. O ją išbandęs, nustėro.

„Pastebėjau, kad greta prisijungimo formos siūloma registruotis (įvedant duomenis arba OpenId), tad pradžioje pamaniau, kad, galbūt ta viešai rinkėjams prieinama prisijungimo/registracijos forma. Tad užsiregistravau. Ir tik gavęs prisijungimus el. paštu supratau, kad čia jau labai rimta“, – tęsė Artūras.

Prisijungęs kaip „Rinkėjo puslapio“ administratorius, jis pamatė atsiveriančias galimybes. Paklaustas, ar sistemoje buvo prieiga prie rinkėjų asmens duomenų, pašnekovas teigė to netikrinęs – nes pamatė, kad ir taip gavo tai, ko neturėtų turėti.

„Suprasdamas, kad būtų negerai pamatyti tai, ko neturėčiau matyti, daugiau nenaršiau“, – sakė Artūras.

„Rinkėjo puslapyje“ jis galėjo iškrėsti ne vieną ir ne dvi šunybes. Čia VRK pasisekė. Artūras pasielgė pilietiškai ir nedelsdamas informavo VRK apie saugumo spragą. Anot programuotojo, jau netrukus prisijungimas prie „Rinkėjo puslapio“ administravimo nebebuvo viešai prieinamas.

Projekto kaina atrodo neadekvati

Jau pirmadienį su Artūru susisiekė Kibernetinio saugumo ir telekomunikacijų tarnybos (KSTT) direktoriaus pavaduotojas Rimtautas Černiauskas. Jam programuotojas pateikė visas savo „įsilaužimo“ į VRK sistemą detales. VRK patvirtina, kad tyrimas dėl saugumo spragos yra atliekamas kartu su KSTT, apie incidentą informuota ir Valstybinė asmens duomenų apsaugos inspekcija.

„Rinkėjo puslapis“ VRK kišenę slegia įspūdinga našta. 2013 m. pabaigoje su bendrove „Tieto Lietuva“ sudaryta sutartis maždaug už 1,2 mln. eurų. Šiemet dar vieną sutartį šiam projektui VRK sudarė su jau pagarsėjusia įmone „iTree Lietuva“ – kiek daugiau nei už pusę milijono eurų.

Paklaustas, kaip vertina tokią „Rinkėjo puslapio“ kainą, Artūras neslėpė abejojantis, kad ji atitinka kokybę.

„Žinoma, mano nuomone, ši suma yra neadekvačiai per didelė. Teko prisidėti prie kelių projektų su panašiais iššūkiais. Sąmatos net susumavus neprilygs“, – reziumavo Artūras.

VRK: asmens duomenims pavojaus nebuvo

Trečiadienį popiet VRK išplatino pranešimą, kuriame išsamiau paaiškina Artūro atskleistą situaciją. Esą administravimo aplinkoje buvo galima „užsiregistruoti ir susikurti tik savo asmeninį, privatų puslapį“.

„Pabrėžiame, kad tai nesuteikia galimybės gauti administratoriaus teisių, jungtis, keisti, redaguoti kitų puslapių funkcionalumo.Vartotojas yra tik savo puslapio duomenų administratorius“, - teigia VRK.

VRK taip pat akcentuoja, esą nei Artūras nei kas nors kitas per administravimo puslapį negalėjo prieiti prie rinkėjų asmens duomenų.

Viešųjų pirkimų tarnyba antradienį nutarė pradėti tyrimą dėl VRK apsirūpinimo informacinėmis technologijomis.

Pranešti klaidą

Sėkmingai išsiųsta

Dėkojame už praneštą klaidą
Reklama
Išmanesnis apšvietimas namuose su JUNG DALI-2
Reklama
„Assorti“ asortimento vadovė G.Azguridienė: ieškantiems, kuo nustebinti Kalėdoms, turime ir dovanų, ir idėjų
Reklama
Išskirtinės „Lidl“ ir „Maisto banko“ kalėdinės akcijos metu buvo paaukota produktų už daugiau nei 75 tūkst. eurų
Akiratyje – žiniasklaida: tradicinės žiniasklaidos ateitis