Сайтове на институции посрещат хакерите без никаква защита

В сайта на Комисията по досиетата, административният панел бил със свободен достъп

Пробив в сигурността на уеб страниците на приходната агенция и Комисията по досиетата, откри бТВ. Оказва се, че редица страници в мрежата нямат защита срещу хакери.

С екипа на телевизията се свързал човек, който за щастие нямал лоши намерения и желаел да предотврати евентуални атаки – при това не само срещу двете институции, споменати по-горе. Към момента те са уязвими даже от начинаещи хакери.

Искате ли едно досие?

На уебсайта на Комисията по досиетата се публикува информацията, свързана с принадлежността на различни лица към Държавна сигурност и всички, свързани с нея. Оказва се, че пропуск в сигурността на сайта прави редактирането на публикуваните данни почти безпрепятствено.

"В този сайт уязвимото е, че се използва за прехвърляне на файлове от самата комисия. Вижда се административният панел, което е недопустимо", посочва Руслан и показва как може да се стигне до модула за публикуване на информация

"Тук можем да видим базата данни, да качим каквото си искаме на сайта, имената и паролите на администраторите. Ако искаме, може да вземем базата данни да ги променим - абсолютно всичко", подчертава той.

Умишлено не показваме стъпките, по които това може да се случи. Затова потърсихме коментар от Комисията по досиетата, откъдето отказаха интервю, а само обясниха, че не виждат нищо притеснително пред вид факта, че информацията, която се публикувала на сайта, била публична.

Следваща спирка - сайтът на НАП

"Сайтът на НАП има голям проблем и може в полето за търсене да се инжектира HTML код, който да се изпълни. Един скрипт може да направи много неща, да записва всяко действие при търсене, например", обяснява Руслан.

От НАП коментираха пропуска в сайта си. "Това само по себе си не може да навлече неприятности или злоупотреби, но ако някой направи поредица от други престъпления, например фишинг, тоест да изпраща имейли от наше име, може да се стигне до неблагоприятно състояние", посочи говорителят Росен Бъчваров.

Пропускът с този сайт все пак не позволява достъп до данните на данъкоплатците.

И все пак, ако получите имейл от която и да е институция и някой иска да попълните личните си данни, винаги имайте едно наум.



Снимка на Деня

Таен агент? Настимир Ананиев, скрит зад фикус, подслушва Бойко Борисов