Об уязвимости на портале rinkejopuslapis.lt журналистам 15min.lt анонимно сообщил некий неравнодушный гражданин. Ресурс создан при финансовой поддержке Центральной избирательной комиссии Литвы для информирования и помощи гражданам на период проходящих в стране парламентских выборов. Первый тур голосования состоялся на прошлой неделе.
Журналисты выяснили, что технические недоработки делали доступными такие личные данные, как номер удостоверения личности, дата рождения и адрес проживания. Когда пользователь вводил свою информацию, адреса последующих электронных форм для заполнения генерировались с использованием простого шаблона. Журналисты опытным путем подтвердили, что расшифровка шаблона позволяла им создавать аккаунт на портале, заходить в него, а затем путем изменения нескольких последних цифр в адресной строке получать доступ к персональным данным других пользователей.
Сообщается также, что потенциальные злоумышленники могли автоматизировать этот процесс и похитить личные данные всех пользователей сайта.
Член Центризбиркома Литвы Йонас Удрис, узнав о технической уязвимости, распорядился немедленно закрыть портал для избирателей.
«После получения такой информации мне ничего другого не остается, как признать, что это скандальное происшествие», — заявил Удрис журналистам 15min.lt.
Центризбирком Литвы не сообщает, данные скольких людей оказались доступны из-за технических проблем с сайтом.
Всего за одну неделю это уже вторая ситуация, связанная с возможной утечкой персональных данныхс сайта rinkejopuslapis.lt. В воскресенье, 9 октября, журналисты 15min.lt выявили более безобидную уязвимость, которая давала возможность видеть информацию отдельных предыдущих пользователей.
Изначально созданием сайта занималась литовская компания Tieto Lietuva, однако затем эту работу передали другому разработчику, iTree Lietuva.
Пока неясно, какая из этих компаний несет ответственность за технические проблемы.
