Eroarea autorităţilor de pe platforma de vaccinare. Cum se poate sări peste rând, evitând lista de aşteptare. Reacţia STS: Platforma nu are vulnerabilităţi
0
Platforma de vaccinare lansată de autorităţi ar avea o vulnerabilitate care ar permite unor persoane cu abilităţi tehnice să se poată programa la vaccinul anticovid evitând lipsa de aşteptate, avertizează un specialist IT citat de Mainnews. Ulterior, STS a transmis că nu este vorba de o vulnerabilitatea a platformei de programare.
UPDATE În urmă publicării acestui articol, Serviciul de Telecomunicaţii Speciale (STS) a transmis o poziţie oficială în care susţine că nu este vorba despre o vulnerabilitate a platformei de programare la vaccinarea anti-COVID.
"Platforma informatică de programare la vaccinare a fost proiectată astfel încât să răspundă cerinţelor stabilite de autorităţile medicale şi să asigure securitatea cibernetică.
Aspectele expuse în cadrul articolului NU reprezintă «o omisiune a autorităţilor» sau «o vulnerabilitate a platformei», fiind funcţionalităţi de vizualizare a informaţiilor cu caracter public.
Prin inspectarea codului din browser pot fi afişate funcţiile de interfaţă ale aplicaţiei, dar NU este posibilă modificarea parametrilor sau realizarea programărilor la vaccinare", a transmis STS.
Ştirea iniţială:
Potrivit sursei citate, aceasta a descoperit vulnerabilitatea curând, după ce a încercat, în repetate rânduri, să facă o programare pe platforma de vaccinare, moment în care a remarcat că „exista o eroare logica ce poate devoala numărul de locuri libere din cadrul fiecărui centru de vaccinare, precum şi sloturile de timp disponibile”.
Prin stergerea atributului disable=”true” din codul HTML încarcat in browser, butonul de rezervare devine activ, permiţând astfel trecerea la pasul următor. După alegerea locului, datelor şi a slotului de timp alocat pentru primul vaccin, respectiv rapel, utilizatorul ajunge în faza de confirmare a programarii. În cazul în care utilizatorul apasa pe butonul „finalizează”, platforma returnează o eroare.
Practic, nişte sloturi libere, care nu ar trebui să fie accesibile, sunt vizibile. Există astfel nişte portiţe care duc către o posibilitate de eludare a sistemului de persoane cu o pregătire ridicată în domeniul IT, mai explică specialistul.
„Recomandarea este ca validarea faptului ca un utilizator se poate programa să se faca la nivel de server, pe baza unui flag (semafor), nu la nivel de client (in browser) prin taguri HTML ce pot fi modificate pe parcursul navigării.
În cazul în care procesul de finalizare a programării s-ar fi făcut cu succes, impactul ar fi fost unul major, deoarece se poate evita lista de aşteptare”, a conchis specialistul.
Se încarcă comentariile...
