„Dar vienas pagalys į VRK ratus ir jų penkiamilijoninius IT projektus – pusės Lietuvos piliečių duomenys galimai priklauso trečiajai šaliai“, – tokia žinutė socialiniame tinkle „Facebook“ sulaukė nemažo susidomėjimo. Spragą svetainėje Rinkejopuslapis.lt aptiko IT srityje dirbantis Erikas Mališauskas.
Jis pastebėjo, kad VRK svetainėje naudojamas bendro naudojimo sertifikatas, suteiktas kompanijos „Cloudflare“.
„Tai reiškia, kad visi duomenys, kurie buvo vedami į Rinkejopuslapis.lt – žmonių vardai, pavardės, asmens kodai su dokumentų numeriais, buvo šifruojami trečiosios šalies kompanijoje, šiuo atveju „Cloudflare“, o ne VRK serveriuose. Trumpai tariant, tai reiškia, kad „Cloudflare“ gali turėti visus rinkėjų duomenis. Tai bent duomenų apsauga!“ – teigė E.Mališauskas.
Jis pridūrė neturintis blogų atsiliepimų apie pačią „Cloudflare“, vis dėlto, jo nuomone, asmeniniai vartotojų duomenys neturėtų keliauti pro trečiąją šalį už Lietuvos ribų.
Trečiadienį paaiškėjo dar viena „Rinkėjo puslapio“ saugumo spraga: administratorių prisijungimo formoje buvo pateikiama nuoroda, leidžianti susikurti administratoriaus prieigą. Kitaip sakant, praktiškai bet kuris lankytojas galėjo gauti šio puslapio administratoriaus privilegijas – tereikėjo žinoti, kur ir kaip to paprašyti.
Spragą aptikęs IT specialistas Artūras nurodė, kad, apsilankius tam tikru adresu ir užpildžius pateiktą formą, prisijungimo duomenys jam buvo atsiųsti el. paštu.
Apie tai paskelbus žiniasklaidoje, šia spraga buvo skubiai pasirūpinta – nuoroda tapo nepasiekiama.
VRK aptarnaujanti IT kompanija „iTree Lietuva“ per daugiau nei parą komentaro taip ir nepateikė.
Rodo programuotojų aplaidumą
IT ekspertas Marius Pareščius priminė, kad Rinkejopuslapis.lt jau spėjo pagarsėti dar viena spraga – jo lankytojai galėjo matyti kitų vartotojų privačius duomenis. Anot jo, tokie atvejai rodo darbų vykdytojų aplaidumą.
„Tai – jų klaidos, ne vartotojai svetainę nulaužė ir juos dabar reikia gaudyti ir bausti. Tiksliau, projekto architekto klaida. Tai – sisteminiai dalykai: numatai, kad šitoje vietoje gali būti duomenų nutekėjimas, ir turi suprogramuoti taip, kad to nenutiktų“, – sakė M.Pareščius.
M.Pareščiaus nuomone, „Rinkėjo puslapio“ prižiūrėtojai „Coldflare“ pasirinko dėl apsaugos nuo DDoS atakų. Kitaip sakant, jei rinkimų metu būtų pradėta kibernetinė ataka, ją atlaikytų JAV bendrovės serveriai ir ji nepasiektų VRK duomenų centro, kuriame saugomi vartotojų duomenys. Tačiau jis neskubėjo vertinti, ar privatūs vartotojų duomenys išties galėjo pakliūti į JAV bendrovės rankas.
„Šiuo atveju „Coldflare“ atliko vartotojų permėtymo tarp kelių serverių funkciją, kad viskas stabiliai veiktų. Buvo reikalaujama, kad viskas būtų patikima ir švaru, tad jie pakišo viską po SSL. Todėl „Coldflare“ serveriai su SSL sertifikatu atsiliepia į užklausas, – kalbėjo M.Pareščius. – Tarp „Coldflare“ ir duomenų centro kažkokio – ar nuosavo VRK, ar nuomojamo – buvo ryšys. Mums aktualiausias klausimas, ar tas ryšys buvo šifruotas, ar ne. Jei ryšys buvo šifruotas, tai „Coldflare“ nematė duomenų. Jei nešifruotas, tai jie tuos duomenis matė.“
Antruoju atveju tai būtų galima vertinti kaip duomenų nutekėjimą.
Tiria aplinkybes
Valstybinė duomenų apsaugos inspekcija (VDAI) pastebėjo, kad informacinės sistemos, kuriose automatiniu būdu tvarkomi asmens duomenys, prie kurių yra prieiga per išorinius duomenų perdavimo tinklus, yra priskirtina antrajam saugumo lygiui.
Vienas iš šiam saugumo lygiui priskirtinų reikalavimų – užtikrinamas saugių protokolų ir (arba) slaptažodžių naudojimas, kai asmens duomenys perduodami išoriniais duomenų perdavimo tinklais.
„Atsižvelgiant į tai, kad rinkimams naudojamoje informacinėje sistemoje yra visų Lietuvos piliečių asmens duomenys, joje neabejotinai turi būti įgyvendintas toks saugumo lygis, kuris užtikrintų saugų prisijungimą prie informacinės sistemos per elektroninės valdžios vartus ar kitais sistemos valdytojo suteiktais tapatybės nustatymo būdais“, – teigė VDAI Informacijos ir technologijų skyriaus vyriausioji specialistė Raminta Sinkevičiūtė-Šečkuvienė.
Ji pridūrė, kad VDAI vis dar aiškinasi duomenų nutekėjimo atvejį, kai Rinkejopuslapis.lt lankytojams buvo prieinami kitų šioje svetainėje apsilankiusių naudotojų duomenys. „Svarbu, kad visos galimos saugumo spragos būtų nustatytos ir problemos išspręstos, o antrasis rinkimų etapas galėtų vykti užtikrinant tinkamą asmens duomenų saugumą“, – sakė VDAI atstovė.
