http://www.apollo.lv/portal/news/articles/262237

Kā pārliecinājās aģentūra LETA, izmantojot minētās mājaslapas tehniskās nepilnības, ikvienam interneta lietotājam bija iespējams iegūt informāciju par dienestā strādājošo ierēdņu algām, kā arī viņu personīgos datus.

Izmantojot būtiskus pārkāpumus mājaslapas drošībā, «ir iespējams iegūt un manipulēt ar pilnīgi visu informāciju, kura atrodas uz servera, ieskaitot pašu serveri», norādīja «Influent».

Drošības testētāji esot informējuši par atrasto «caurumu» arī pašu VPD, bet atbildi no tā neesot sagaidījuši.

Adrese uz visiem publiski pieejamajiem VPD failiem, kas augšupielādēti uz servera, bija gluži vienkārša – «www.probacija.lv/upload».

Tomēr īsi pēc aģentūras LETA ziņas publicēšanas minētais «caurums» tika «aizlāpīts», līdz ar to dati publiskajā vidē vairs nav pieejami.

Vienā no neaizsargātajiem failiem drošības pārkāpumu testētāji esot atraduši dokumentu, kurā redzams, ka par mājaslapas izstrādi no valsts budžeta paprasīti vairāk nekā 1000 lati, lai gan izstrādātājiem samaksāts vien ap 300 latiem.

VPD pārstāvis Imants Mozers aģentūrai LETA sacīja, ka, uzzinot par šo situāciju, dienests sācis to vērtēt. «Tiklīdz būs zināmi notikušā apstākļi un plašāks skaidrojums, arī mēs sniegsim informāciju,» norādīja Mozers, piebilstot, ka pagaidām nav saprotams, kā šāda veida dati varējuši būt pieejami publiskā vidē.

VPD mājaslapa esot izstrādāta 2004.gadā. Arī intranets dienestam izstrādāts sen, bet Mozers nemācēja pateikt konkrētu gadu.

VPD mājaslapa ir izvietota uz SIA «Lattelecom» serveriem.

Mozers piebilda, – viņa rīcībā nav informācijas, ka drošības testētāji iepriekš būtu ziņojuši VPD par atrasto «caurumu» dienesta mājaslapā.

Related posts:

1. Uzlauzta Vienotības mājaslapa
2. Uzlauzta “Mežavairogu” mājaslapa.
3. Drošības caurums CSDD un Parex mājaslapā

Related posts:

1. Aizstājam vai izmainām izvadāmo kodu izmantojot javascript
2. Atbrīvojamies no komentāru spama
3. Risks- iespēja zaudēt vai iespēja iegūt?

Labdien,

www.vadipats.lv 2011.gada 07.aprīlī plkst.13:00 pilnvērtīgi atsāk darbību.

vadipats.lv komanda atvainojas par problēmām, kas radušās sistēmas nepieejamības dēļ.

Diemžēl pat visdrošākajām iekārtām mēdz būt problēmas, un šoreiz platforma Latvijas Valsts Radio un Televīzijas centra datu centrā, uz kuras darbojās vadipats.lv sistēma, nebija izņēmums, proti, 2011.gada 6.aprīlī plkst. 00:35 pārstāja funkcionēt datu centra serveris.

Mūsu prioritāte vienmēr ir bijusi sistēmas pieejamība un mūsu lietotāju datu drošība. Tāpēc vienmēr visiem datiem ir tikušas veidotas rezerves kopijas. Līdz ar to platformas bojājumi neietekmēja sistēmā esošos datus.

Diemžēl datu rezerves kopijas tiek veidotas periodiski. Tāpēc sistēma atjaunota ar datiem tādā stāvoklī, kādā tie bija uz 2011. gada 5. aprīļa plkst. 00:00.

Līdz ar to mums jāatvainojas tiem, kas reģistrējušies vai šī atgadījuma dēļ zaudējuši ievadītos datus periodā no 05.04.2011 plkst. 00.00 līdz 06.04.2011 plkst.00.00. Šādi dati un lietotāji sistēmā jāreģistrē atkārtoti.

Turpmāk vēl lielāku uzmanību pievērsīsim datu saglabāšanā un turpināsim īstenot aktīvu datu drošības nodrošināšanas politiku.

Paldies par sapratni.

Ar cieņu,
vadipats.lv klientu serviss,
www.vadipats.lv

Related posts:

1. Kapitals.lv
2. Kapitals.lv
3. www.zz.lv un XSS

1. gadījumā interesants ir viedoklis, ka privātie dokumenti ir jāsargā pašiem (lai nenoplūst pases kopijas, personas kodi, utml) un to salīdzināšana ar bankas kodu karti.

Diez vai viņi meklējot sev attaisnojumu padomāja no šāda skata punkta- personas apliecinošie dokumenti ir jāuzrāda, jākopē un jādod trešajām pusēm (slēdzot visādus līgumus vai iesniedzot dokumentus valsts iestādēm), turp pretim bankas kodu karti nevienam neviens neprasa.

Apšaubu arī otru argumentu- banku kodu kartes ir tik pat pieejamas internetā, kā personas kodi. Ja tā būtu, tad daļai cilvēku jau sen būtu iztukšoti konti. Principā smieklīgi.

Vispār nesaprotu cik šauri cilvēkam ir jādomā, lai izdarītu secinājumu, ka pasē pieejamie dati tiek uzskatīti par drošu autentifikācijas rīku.. .
Kaut kā neticas, ka neviens auditors nepievērsa tam uzmanību (vairākās iestādēs ir savi IT auditori, drošības speciālisti, gan veiktas ārējās novērtēšanas).
Šādas lietas gribot negribot liek apšaubīt šo cilvēku atbilstību ieņemamam amatam.

2. variantā bija vēl labāk- vienīgais, kas VID darbiniekiem ienāca prāta ir atslēgt EDS sasaisti ar pārējām sistēmām un pompozi paziņot- Tagad Jums visiem būs divreiz vairāk darba, būs jāvada gan personas kodi, gan vārdi, uzvārdi, adreses ar roku.

Tas viss atgādina drīzāk nedomāšanu vai klasisko domāšanu balts/melns.

Es piedāvātu labāk izvērtēt kāda informācija tad īsti ir jāatspoguļo tajās EDS anketās par trešajām pusēm. Manuprāt pietiktu ar personas kodu (kuru ievada pats aizpildītājs) un tad, lai no saistošām sistēmām izvada tikai vārdu un uzvārdu (lai salīdzinātu vai ievadīts pareizi). Pārējo informāciju paturot pieejamu tikai VID darbiniekiem. Tādā veidā būtu atvieglota datu ievade un nevajadzīgi nebūtu jāatspoguļo informācija.

Internetā pieejamie cepieni par šo tēmu- Tautas skaitīšana, CSDD, EDS.

Related posts:

1. Kā tika nolādēti dati no VID EDS sistēmas?
2. Drošības caurums CSDD un Parex mājaslapā
3. No VID EDS tiek nopludināta informācija

http://hakipedia.com/index.php/Cross_Site_Scripting
http://www.owasp.org/index.php/Cross-site_Scripting_(XSS)
http://ha.ckers.org/xss.html
http://www.martani.net/2009/08/xss-steal-passwords-using-javascript.html

Related posts:

1. www.atlaizuklubs.lv SQL kļūda
2. Uzlauzts Chrysler.lv
3. Hackeri uzbrūk vai gadās arī tā

Related posts:

1. Kapitals.lv
2. Pods izsmiets vai vēsture atkārtojas
3. Hackeri uzbrūk vai gadās arī tā

Related posts:

1. Uzlauzts Chrysler.lv
2. Hackeri uzbrūk vai gadās arī tā
3. Kapitals.lv

Raksts un raksta kopija.

18.oktobra naktī ir neatļauti piekļūts portāla Jelgavnieki.lv serverim un apzināti samainīti pieejas kodi tā, lai lasītājiem nebūtu iespējams lasīt portāla ziņas. Atverot portālu parādījās uzraksts «Access denied for user nobody@localhost (using password: NO).»
Portāla Jelgavnieki.lv īpašnieks Kristians Rozenvalds informē, ka problēmas ir novērstas. «Vēlamies nomierināt lasītājus – redakcija turpina darbu, taču, protams, žēl, ka tieši pirmdienas rītā, kad ierasti ir vislielākais apmeklētāju skaits, portāla darbība ir traucēta,» komentē K.Rozenvalds.

«Mūsu gadījumā šis ir ļoti nepateicīgs laiks arī tāpēc, ka pirms vēlēšanām netrūka nelabvēļi, kas apzināti izplatīja baumas par to, ka pēc vēlēšanām Jelgavnieki.lv pārtrauks savu darbību. Tagad, protams, daudzi, nespēdami atvērt portālu, tā arī padomā, jo nav jau citas iespējas pārliecināties par pretējo,» stāsta K.Rozenvalds, piebilstot, ka arī pirms iepriekšējām vēlēšanām tā runāja gan par portālu, gan arī par žurnālu, taču Jelgavnieki.lv turpināja strādāt un turpinās arī turpmāk, piedzīvojot ne vienas vien vēlēšanas.

K.Rozenvalds atgādina, ka pēdējā pusgada laikā šī ir jau otrā reize, kad nelabvēļi mēģina ietekmēt Jelgavnieki.lv darbu: «Iepriekš Jelgavnieki.lv izmantots kā resurss datoru inficēšanai, šoreiz pieeja portālam bija liegta pavisam.» atgādina

«Portālam kļūstot arvien populārākam, palielinās arī interese no hakeru puses. Vieni vēlas izmantot portāla auditoriju, lai to inficētu ar tādiem vīrusiem, kas iesaista lietotāju datorus virtuālos tīklos, lai no šiem datoriem pēcāk var attālināt veikt kādu uzdevumu, par kuru datora īpašnieks pat nenojauš. Tāpat populāri portāli ir arī kā izaicinājums hakeriem demonstrēt savas uzlaušanas spējas,» komentē K.Rozenvalds.

«Spiedīgajos apstākļos būs vēl vairāk jādomā par drošību, lai gan vairāk gribētos tērēt naudu saturam. Bet ar to nāksies samierināties,» tā K.Rozenvalds.

Related posts:

1. Kapitals.lv
2. Uzlauzts Chrysler.lv
3. Atbrīvojamies no nevajadzīgā reģistrēšanās spama

Sestdienas vakarā uzlauzta politisko partiju apvienības “Vienotība” mājaslapa. Kā pēc plkst.19 pārliecinājās aģentūra LETA, atverot vietni, lapas apmeklētājs pēc īsa mirkļa tika aizvests uz partiju apvienības “Par labu Latviju” (PLL) mājaslapu.

“Vienotība” arī tviterī ierakstījusi: “Mums ir uzlauzta mājaslapa, bet jau labojam. Šobrīd viss liecina par PLL roku darbu.”

Sestdienas vakarā “Vienotības” mājaslapa vispār nav redzama un saites “www.vienotiba.lv” apmeklētājs tiek informēts, ka viņam nav pieejas minētajam serverim.

Savukārt apvienības PLL preses sekretārs Edgars Vaikulis aģentūrai LETA noliedza apvienības saistību ar uzbrukumu “Vienotības” vietnei. Vaikulis paudis, ka, visticamāk, šāda rīcība ir provokācija.

Pirmdienas rītā gan viss bija mierīgi, bet vēsturei piefiksēsim.

Related posts:

1. Uzlauzta “Mežavairogu” mājaslapa.
2. Drošības caurums CSDD un Parex mājaslapā
3. Boot bīstama lapa vai arī boot ticis izsmiets

Un te seko nākamais pārsteigums- pods izsmiets.

Nu ko vēsture atkārtojas..

Pods jau vienreiz tika nonests un cik atceros toreiz autoram bija paša radīts brīnums, bez rezerves kopijām. Tagad Pods griežas(zās) uz wordpress- vai bija mācība un ir rezerves kopija uzzināsim visai drīz.

Man pašam arī pāris mēnešus atpakaļ bija nonests wordpress izmantojot wordpress ievainojamību. Kas par iemeslu bija iekš pods.lv būs interesanti noskaidrot un cerams autors neturēs sveci zem pūra. Varbūt nebija atjaunota pēdējā versija, varbūt kaut kas cits.

Iekš LV ik pa laikam kāda lapa tiek nonesta, taču neesmu dzirdējis ne par vienu sekmīgi pabeigtu izmeklēšanu un notiesājošu spriedumu. Gaidu precedentu, lai tīņi urķi nobītos un beigtu bojāt citiem garastāvokli.

Uzstādīts arī interesants redirekts uz www.kuce.lv, kas liek domāt, ka vainīgais mitinās iekš LV

No sava Hackera neaizbēgsi .

Related posts:

1. Boot bīstama lapa vai arī boot ticis izsmiets
2. Second step in forensic investigation vai hackeri uzbrūk 2
3. Hackeri uzbrūk vai gadās arī tā