Cik viegli bija atklāt "caurumu" VID EDS sistēmā

Šajā sakarā nepiekrītu ne Neo apgalvojumam intervijā Jānim Domburam, ka lai atrastu caurumu vajadzētu būt VID EDS lietotājam un tāpēc tā atrašana aizņēma tik ilgu laiku, ne tādam pašam skaidrojumam no VID amatpersonu puses - cilvēks no malas to nevarētu atklāt - tikai EDS lietotājs.

Katrs Latvijas iedzīvotājs var izmēģināt VID EDS sistēmu aizejot uz šo saiti: https://edsdemo.vid.gov.lv/Eds/Pages/Login.aspx?action=logout un pieslēdzoties ar lietotāju demo un paroli demo. Tas ir aprakstīts VID mājas lapā un sistēma ir domāta, lai bez bailēm varētu to izmēģināt. Vajadzīga lieta, jo to par intuitīvu nekādi nevar nosaukt. Strādājot ar to visu laiku nepamet bailes izdarīt kaut ko nepareizi.

Lai parādītu, cik vigli vai grūti bija atrast slaveno GetDuf.aspx caurumu, pievienoju video, kurā var redzēt cik daudz laika vajag, lai sāktu iegūt slepenos VID datus. Par laimi tagad šis ir sataisīts un neko vairāk kā kļūdas paziņojumu, mēģinot piekļūt pie "aizliegtiem" dokumentiem neiegūsiet.

Skripts jeb programma ir norāde uz 9 stabiņu - pirmo, kur ir disketes simbols. Viss kas "hakerim" būtu jāizdara - jānokopē saite un jāpaskatās, kas notiek, ja maina skaitļus tās beigās un vai tā strādā, ja neesi pieslēdzies šai sistēmai.

Tā noteikti nav sistēmu uzlauzšana, kas prasa lielu pieredzi un zināšanas, bet legāli tas nav.

Kāpēc šo kļūdu neievēroja KPMG - nav īsti skaidrs. Labprāt dzirdētu viņu skaidrojumu par šo tēmu. Vienīgais skaidrojums, kas nāk prātā - auditēta tika cita sistēma. Pēc manas pieredzes - ja testējot kaut kas šāds nāk klajā tādai sistēmai kā VID EDS, par to nekavējoties tiek informēts klients. Jau pirms audita ziņojuma sagatavošanas, lai var sākt strādāt pie tik kritiskas problēmas novēršanas.

P.S. Video labāk skatīties pilna ekrāna HD režīmā (HD: ON un Stretch: ON)