Į 15min kreipėsi anonimu panorėjęs išlikti skaitytojas, pranešęs, kad svetainėje www.infolex.lt, kurią valdo „Verslo žinios“, — teisinės informacijos portale, kuriuo naudojasi beveik visos Lietuvos valstybinės institucijos, teismai, prokuratūros ir advokatai — buvo aptikta kritinė, ilgametė saugumo spraga, leidžianti be jokio autentifikavimo pasiekti duomenų bazėse saugomus asmens duomenis.
Pasak pašnekovo, atliekant saugumo analizę buvo patvirtinta, kad per vieną neapsaugotą svetainės puslapį galima pasiekti daugybę duomenų:
- 35 000 naudotojų prisijungimo duomenų, slaptažodžių, saugomų atviru tekstu;
- 538 Lietuvos teismų sistemos darbuotojų el.pašto adresus ir prisijungimo duomenis;
- 9052 asmens kodus iš teisinės duomenų bazės;
- 71 duomenų bazę tame pačiame serveryje, įskaitant antstolių, teismų ir kitų institucijų duomenis.
„Duomenų bazės paskyra veikia su aukščiausio lygio administratoriaus (sysadmin) teisėmis, o tai reiškia, kad piktavalis galėtų ne tik nuskaityti, bet ir pakeisti ar ištrinti visus duomenis bei potencialiai perimti serverį“, – 15min komentavo pašnekovas.
Pasak jo, nerimą kelia tai, kad valstybinės institucijos moka mokesčių mokėtojų pinigus už paslaugą, kuri neatitinka elementarių saugumo standartų. Taip pat tai, kad nė viena institucija daugiau nei per 20 metų nepareikalavo saugumo audito iš šio tiekėjo.
„Infolex“ valdytojai galimą saugumo spragą pripažino ir ėmėsi veiksmų, o Valstybinės duomenų apsaugos inspekcijos (VDAI) Teisės skyriaus patarėja Inga Mauricienė 15min patvirtino, kad VDAI dėl šios situacijos planuoja atlikti tyrimą.
