о
о / iStock/Getty Images
Подновен е достъпът до електронната система от потребителите за подаване на документи за прием в детските и учебните заведения в Стара Загора, уверяват от фирмата-разработчик „Информационно обслужване“.

Извършеният преглед на сигурността показал, че не е идентифициран достъп до данните, поддържани от самата система и няма неоторизирани промени в базата данни,  извлечени са лог файловете от web сървъра и е извършен анализ на заявките към него за достъп до функционалността за извличане на данни, съобщават от фирмата в официално становище.

Сигнал към служител на „Информационно обслужване“ АД относно публикацията в социална мрежа е получен на 26 юни в 7:59 часа по електронна поща. Извършен е анализ на постъпилите данни и проверка за наличие на описания проблем, който е потвърден независимо от разработващия екип във Варна и в София. Незабавно са предприети действия за оперативно информиране на клиентите, които използват тази версия на софтуерния продукт, спрян е публичният достъп до инсталацията, а в последствие и до цялата система.

От „Информационно обслужване“ съобщават още, че са извършили анализ на атаката, като резултатите са следните:

„Системата дава възможност за въвеждане на ЕГН на дете за организиране на приема в детските заведения;

-При подаване на ЕГН се извършва справка чрез интерфейс към локална база данни „Население“, като информацията, която се връща към потребителя е три имена и постоянен адрес на лицето;

-Атакуващият, използвайки публично достъпния механизъм за съставяне на ЕГН, генерира множество последователни ЕГН (номера), които подава чрез заявки към системата. При съвпадение на генериран номер с издаден такъв, информацията за връзката „ЕГН - три имена - адрес“ се съхранява в базата данни на атакуващия. Той е публикувал изходния код на средството за извличане на личните данни в GitHub на адрес https://github.com/fakedob/grao“.


Дружеството е разработило план за коригиране на несъответствието като е отстранена функционалността за извличане на личните данни по ЕГН; реализирана е допълнителна функционалност за търсене на ЕГН в комбинация със съвпадащо първо име на лицето; извършен е преглед на изходния код за наличие на други несъответствия, свързани със сигурността на системата; извършено е сканиране за уязвимости на инсталацията.

След потвърждение на корекцията, новата версия на системата е инсталирана в общината, е записано още в официалното становище на фирмата „Информационно обслужване“.