Киберсигурност ли? Сайтът на Агенция Митници податлив на "атаки" чрез... Гугъл
ИТ специалист успява да достигне до администраторския панел на customs.bg чрез търсачката
Колко ниско е нивото на киберсигурност в някои от най-важните държавни интернет сайтове? Този въпрос задават мнозина след т.нар. хакерска атака срещу НАП, която разкри личните данни на над 5 млн. българи преди месец. Днес отговор на въпроса Флагман.БГ получи и от друго място – сайтът на Агенция "Митници".
Потребител на социалната мрежа Фейсбук, който изглежда се занимава с информационни технологии професионално, показа как да „хакнем” customs.bg – официалният сайт на българските митници. Методът е сравнително „сложен”... с просто търсене в Google.
„Как да „хакнем” митниците с Гугъл? Стъпка 1: Отваряте търсачката. Стъпка 2: Пишете „site:reg.customs.bg”. Стъпка 3: регистрирате се като администратор и влизате”, пише в публикация Данаил Велев, който по всичко личи, че от вчера е започнал масова проверка на този метод за „хакване” при голяма част от сайтовете в държавта и за жалост е установил, че е успешен.
Той е успял да се впише с нов администраторски акаунт не само в сайта на Митниците, но и в сайта на Държавна агенция „Електронно управление”, където през достъпната част от сорс кода на уебсайта е достигнал и до логините на други администратори, както и паролите им.
Сайтът на Агенцията по вписванията също се оказва податлив на подобни „атаки”. Използвайки подобен метод, е възможно без никакви хакерски действия всеки потребител да види плащанията към нея, както и личните и банкови данни на фирми и граждани.
Пред bTV от Агенция „Митници” отричат да има пробив в системата на сайта им и обясняват, че това, което Данаил Велев показва, е нищо повече от система, предвидена за ползване от всички потребители. Според тях в нея може да се регистрира всеки и няма значение какво потребителско име избира той, включително и то да е “Admin”.
Въпреки това обаче на сайта customs.bg никъде не е обявено поле за публична регистрация, което води до заключението, че в действителност откритието на Велев е много повече от публична услуга и предоставя достъп на случайни хора до вътрешната система на сайта.
http://cyberneat.e-gov.bg/library-public/download.php?file=C:/cyberneat-site/fm.php
http://cyberneat.e-gov.bg/fm.php
:)
Не държава.!