Киберсигурност ли? Сайтът на Агенция Митници податлив на "атаки" чрез... Гугъл

Податливи на подобни „хакерски” нападения са и сайтовете на Държавна агенция „Електронно обслужване” и Агенцията по вписванията

Ключови думи: агенция митници, агенция по вписванията, киберсигурност, новини

Колко ниско е нивото на киберсигурност в някои от най-важните държавни интернет сайтове? Този въпрос задават мнозина след т.нар. хакерска атака срещу НАП, която разкри личните данни на над 5 млн. българи преди месец. Днес отговор на въпроса Флагман.БГ получи и от друго място – сайтът на Агенция "Митници". 

Потребител на социалната мрежа Фейсбук, който изглежда се занимава с информационни технологии професионално, показа как да „хакнем” customs.bg – официалният сайт на българските митници.  Методът е сравнително „сложен”... с просто търсене в Google. 

„Как да „хакнем” митниците с Гугъл? Стъпка 1: Отваряте търсачката. Стъпка 2: Пишете „site:reg.customs.bg”. Стъпка 3: регистрирате се като администратор и влизате”, пише в публикация Данаил Велев, който по всичко личи, че от вчера е започнал масова проверка на този метод за „хакване” при голяма част от сайтовете в държавта и за жалост е установил, че е успешен.

Той е успял да се впише с нов администраторски акаунт не само в сайта на Митниците, но и в сайта на Държавна агенция „Електронно управление”, където през достъпната част от сорс кода на уебсайта е достигнал и до логините на други администратори, както и паролите им.

Сайтът на Агенцията по вписванията също се оказва податлив на подобни „атаки”. Използвайки подобен метод, е възможно без никакви хакерски действия всеки потребител да види плащанията към нея, както и личните и банкови данни на фирми и граждани.

Пред bTV от Агенция „Митници” отричат да има пробив в системата на сайта им и обясняват, че това, което Данаил Велев показва, е нищо повече от система, предвидена за ползване от всички потребители. Според тях в нея може да се регистрира всеки и няма значение какво потребителско име избира той, включително и то да е “Admin”.

Въпреки това обаче на сайта customs.bg никъде не е обявено поле за публична регистрация, което води до заключението, че в действителност откритието на Велев е много повече от публична услуга и предоставя достъп на случайни хора до вътрешната система на сайта.