Programuotojas Artūras, prašęs neminėti savo pavardės, skylę VRK informacinėje sistemoje aptiko rinkimų dieną. Jis teigia pats negalėjęs patikėti, kad „Rinkėjo puslapio“ administratoriumi galima tapti vos keliais pelės paspaudimais ir be jokių leidimų iš puslapį administruojančios įmonės ar pačios VRK. Tačiau įvyko būtent taip.
VRK trečiadienį popiet pranešė, esą spraga buvo, bet nepavojinga – esą Artūras negalėjo daryti poveikio „Rinkėjo puslapio“ turiniui.
Pasielgė pilietiškai, o galėjo daug
Artūras po „Rinkėjo puslapį“ panaršyti nusprendę sekmadienio vakarą, pamatęs 15min publikaciją apie kitą saugumo spragą – sistemoje pasiekiamus anksčiau ją naudojusių rinkėjų asmens duomenis. Suvedęs standartinį puslapio administravimo formos adresą, jaunas vyras negalėjo patikėti savo akimis.
„Po straipsnio 15min apie tai, kad nutekėjo dalis rinkėjų duomenų, nutariau pasižvalgyti, ir, aišku, likau labai nustebęs, jog https://www.rinkejopuslapis.lt/admin apskritai prieinamas iš išorės. To tiesiog negali būti“, – 15min teigė VRK sistemos spragą atskleidęs programuotojas.
„Rinkėjo puslapio“ administratoriaus prisijungimo zonoje jis rado dar labiau neįtikėtiną dalyką – registracijos formą. O ją išbandęs, nustėro.
„Pastebėjau, kad greta prisijungimo formos siūloma registruotis (įvedant duomenis arba OpenId), tad pradžioje pamaniau, kad, galbūt ta viešai rinkėjams prieinama prisijungimo/registracijos forma. Tad užsiregistravau. Ir tik gavęs prisijungimus el. paštu supratau, kad čia jau labai rimta“, – tęsė Artūras.
Prisijungęs kaip „Rinkėjo puslapio“ administratorius, jis pamatė atsiveriančias galimybes. Paklaustas, ar sistemoje buvo prieiga prie rinkėjų asmens duomenų, pašnekovas teigė to netikrinęs – nes pamatė, kad ir taip gavo tai, ko neturėtų turėti.
„Suprasdamas, kad būtų negerai pamatyti tai, ko neturėčiau matyti, daugiau nenaršiau“, – sakė Artūras.
„Rinkėjo puslapyje“ jis galėjo iškrėsti ne vieną ir ne dvi šunybes. Čia VRK pasisekė. Artūras pasielgė pilietiškai ir nedelsdamas informavo VRK apie saugumo spragą. Anot programuotojo, jau netrukus prisijungimas prie „Rinkėjo puslapio“ administravimo nebebuvo viešai prieinamas.
Projekto kaina atrodo neadekvati
Jau pirmadienį su Artūru susisiekė Kibernetinio saugumo ir telekomunikacijų tarnybos (KSTT) direktoriaus pavaduotojas Rimtautas Černiauskas. Jam programuotojas pateikė visas savo „įsilaužimo“ į VRK sistemą detales. VRK patvirtina, kad tyrimas dėl saugumo spragos yra atliekamas kartu su KSTT, apie incidentą informuota ir Valstybinė asmens duomenų apsaugos inspekcija.
„Rinkėjo puslapis“ VRK kišenę slegia įspūdinga našta. 2013 m. pabaigoje su bendrove „Tieto Lietuva“ sudaryta sutartis maždaug už 1,2 mln. eurų. Šiemet dar vieną sutartį šiam projektui VRK sudarė su jau pagarsėjusia įmone „iTree Lietuva“ – kiek daugiau nei už pusę milijono eurų.
Paklaustas, kaip vertina tokią „Rinkėjo puslapio“ kainą, Artūras neslėpė abejojantis, kad ji atitinka kokybę.
„Žinoma, mano nuomone, ši suma yra neadekvačiai per didelė. Teko prisidėti prie kelių projektų su panašiais iššūkiais. Sąmatos net susumavus neprilygs“, – reziumavo Artūras.
VRK: asmens duomenims pavojaus nebuvo
Trečiadienį popiet VRK išplatino pranešimą, kuriame išsamiau paaiškina Artūro atskleistą situaciją. Esą administravimo aplinkoje buvo galima „užsiregistruoti ir susikurti tik savo asmeninį, privatų puslapį“.
„Pabrėžiame, kad tai nesuteikia galimybės gauti administratoriaus teisių, jungtis, keisti, redaguoti kitų puslapių funkcionalumo.Vartotojas yra tik savo puslapio duomenų administratorius“, - teigia VRK.
VRK taip pat akcentuoja, esą nei Artūras nei kas nors kitas per administravimo puslapį negalėjo prieiti prie rinkėjų asmens duomenų.
Viešųjų pirkimų tarnyba antradienį nutarė pradėti tyrimą dėl VRK apsirūpinimo informacinėmis technologijomis.
