Владата на Република Македонија, на официјален .gov домејн, на кој е објавен еден од најважните инструменти на претстојните избори, избрачкиот список на сите граѓани, има направено катастрофален и непрофесионален превид што го остава избирачкиот список 100% отворен за превземање, заедно со сите лични податоци на сите граѓани. Матичен број, име и адреса [едит 09:15 10.02.2016] потесен регион на живеење се достапни, за само малку играње со код и податоци.
http://izbirackispisok.gov.mk/Najdeno.aspx?value= [ формат на матичен број ]
[EDIT 10.40] Страницата е редиректирана кон sec.mk и не постои.
Ако одиме 80 години нананзад,
80 години x 365 денови x 2×999 x9(oпштини) комбинации за последните 3 бројки = го имате целиот избирачки список. 58 341 600 [едит за комбинации со вклучени општини] 525 074 400 комбинации, за да добиете пречистен список. Во оптимални услови, скрипта која би свртела 525 милиони комбинации би свртела за 12 часа, а би се напишала за 1час.
[EDIT 11.44] Ова е песимистички сценарио кога сите би се извртеле, а има и checksum формула што би го намалила ова. https://en.wikipedia.org/wiki/Unique_Master_Citizen_Number#Checksum_calculation Фала @therealpsmst за исправката.
Иако официјалната форма е навидум зад captcha, со околку 2мин на страницава со view source се наоѓа голиот линк.
Ова остава простор за:
- со погодување на нечиј МБ, да се добијат податоци за живеење
- бизниси да таргетираат возрасни групи, да добијат информации со место на живеење на сите нивни потенцијални клиенти
- партии, лоби и бизнис групи да имаат копија од избирачкиот список во и да прават таргетирано и персонализрано комуницирање со гласачите
- итн.
Грешката е на многу аматерско ниво од аспект на професионални принципи на работење со лични податоци на отворен веб. Грешката е противзаконска на Законот за заштита на лични податоци. И не е грешка од државата изборната комисија која се појавува првпат.
Ни требаат податоци и системи на кои може да им веруваме и заштита што е загарантирана, како минимум.
Le Config 
Збореш за одговорност но каде е твојата. Сега им кажа на сите каде е пропустот.
Наместо да пријавеш тајно до нив да ја исправат грешката па после објави што можеше да се случи ти ги злоупотреби сите граѓани на р.м !
Според мене си многу полоша од нив, тие направиле ненамерна аматерска грешка, но вие намерно ги оштетивте сите граѓани на Р.М.
Ниедна веб апликација шо е у сопственост на владата не е изработена на квалитетен начин, напротив, многу лош код и функционалност без никаков начин тие апликации да прават scale, а сепак некој зема пари за да ги „изработи“ овие глупости. Не знам кој им дадел титула „програмер“ на тие.
Прва работа, бог знае колку веќе го имаат злоуптребено линкот (Затоа сметам дека треба сите да знаат што се случило). Ако им кажеш тајно, после ќе биде: А не девојче лажеш ти, не е точно. И еве веќе го изгасија и баш ме интересира дали ќе признаат.
ВТОРА уште побитна работа, од професионално искуство ќе ти кажам, за да може и ти како најверојатно информатички неедуцирана личност, дека грешката е толку АМАТЕРСКА, што дури и да не е НАМЕРНО (се сомневам) направена, не смее ваква институција да си дозволи вакво нешто, значи НЕ СМЕЕ.
Првата работа;
Точно, авторот незнае, само бог знае дали и колку веке го имаат злоупотребено, а бидејки само бог знае авторот нема право да не ставе сите во каша.
И второто
Грешката колку и да е аматерска ( инаку сум многу добро информатички едуцирана личност со голем број на години работно искуство како linux system администратор ), колкава и да е одговорноста на институцијата и програмерот, авторот нема право без проверка и истражување на своја претпоставка да објави информација и упатство во моментот за тоа како да се упадне во систем и да се дојде до лични податоци кои потоа може да се злоупотребат.
ВМРООООООО
До: „Зошто да не аднимимен“,
Одговорноста НЕ е на авторот на блогот.
Авторот на блогот има право да пренесе информација која е јавно достапна.
Одговорноста е во институцијата што го пуштила списокот на својата веб страна.
Не е точно дека е јавно достапна! Ако е јавна секој ке знаеше за нејзе и ке имаше пристап БЕЗ CAPTCHA и слично. За да дојдеш до истата треба да си програмер, да се заинтересираш каде да најдеш пропуст, да направиш/испрограмираш скрипта/апликација и на крај да ги превземеш податоците.
Ова е исто ако јас заборавам да ја заклучам мојата врата дома да ми влезеш и ограбеш без притоа да сносиш одговорност. А јас не само што немора да за заклучам можам и широко да ја отворам некој трет пак несмее да влези без одобрување и да ме ограбе.
Авторот свесно знае дека со објавување на оваа информација дека веке некој ке почне да ги злоупотребува, НО НЕМОЖЕ да знае дали некој претходно го нашол пропустот и го злоупотребил.
Според мене, авторот свесно има одговорност и е далеку поодговорен за злоупотребата одколку некој кој ненамерно и несвесно ( неможе да знаеме дали е намерно и свесно додека не се докаже спротивното ) направил сигурносен пропуст.
Не сум правник но колку што јас знам законот вика безразлика дали некој има сигурносен пропуст НЕСМЕЕШ да упаднеш во компјутерски систем, а ова е упатство како да го направеш тоа.
Извинете јас не ги оправдувам ниту од ДИК ниту програмерите што го правеле, но авторот свесно сите не донесе во злоупотреба за своја промоција. Авторот е тој што во моментот бенифицира од целава оваа работа на грбот на сите други.
Ако авторот е загрижен за нас граѓаните нема да се грижи дали ке и рекле дека лаже и дали е точно, ке и биде најбитно да им укаже на пропустот и СИТЕ НАС да не заштите. Но напротив целиот случај е искористен за самопромоција.
Систем линукс адмистратору! а дали ти дома кога забораваш отклучено, имаш твои работи или туѓи податоци во домот? За твоите работи, ако некој ти ги украде, ако си заборавил отклучено, баш ме боли уво другарче, ама за моите податоци баш ме интересира кој му оставил отклучено!
BTW, прашај во полиција, да видиш што ќе ти кажат и како они го третираат грабежот, ако си оставил отклучено дома. Т.е. ќе те откачат под разно и ќе мислат дека лажно пријавуваш!
Oh wow. ВМРО дошло да коментира веќе.
Мало дополнување.
ЕМБГ воопшто не мора да се погаѓа. ЕМБГ се пресметува по формула иста за цела екс-ЈУ. https://en.wikipedia.org/wiki/Unique_Master_Citizen_Number#Checksum_calculation
ОК, значи и намалена е бројката на вртења плус. Ова ми ја прави посложена формулата, али ќе додадам for clarity, дека се макс за сите комбинации толку и ќе додадам checksum. Тенкс!
Здраво, авторот тука 🙂 “Зошто да не аднинимен”, овој систем бил онлајн и достапен долго време, тоа што јас му ги открив со минимална проверка на основни параметри е огромна професионална грешка што целата професија ни ја влече доле. Ако си во истата професија, верувам се согласуваш. Истава информација е пратена на официјалните мејлови на ДЛЗП и контактот на мејл во sec.mk, како што гледам веќе и е реагирано.
И секоја таков пропуст од мене ќе биде објавен јавно, не го правам јас системот слаб.
До: “Зошто да не аднинимен” , добро не ми е јасно што се фати за авторот и што објавил. Значи ова е слободен простор и секој може да си објави што сака, на пример :” Упатство како во 3 чекори да добиеш перпетуммобиле”, или ” Изрендајте ја вашата зелка за помалку од 30 секунди” , “Како да ја хакнеш фејсбук лозинката на твојата девојка” , но .gov , потенцирам .GOV не смее да си дозволи оваков пропуст. Не гледам никаква самопромоција во обидот некој да му ги отвори очите на народот, да види со какви институции и “професионалци” си имаат работа и како се заштитени нивните ЛИЧНИ податоци. И патем кој го плаќаат со нивните пари.
Добро бе луѓе истиот синдром како со “преслушуваните разговори.” Не е битна содржината, битно е кој објавил? Алоо брееее државо толку ли паметните луѓе те напуштија та што останаа полуписмени сељандури да ти креираат политики и правила!?? Алоооо…
Дали било грешка или пропуст (не е намерен пропустот, пропустот е од НЕЗНАЕЊЕ, од примени неквалитетни лица и програмери во ИТ секторите на државните институции) за ова во култирни држави се поднесува оставки и се одговара кривично. Се одговара кривично и тоа “ретроактивно” од тоа кој го примил на работа, како го примил и кој го контролира… сите треба да одговараат. А не дали блогерот го објавил…. алоооо интернетот е отворен секој може што сака да напише, а тоа дали е валидно или не друг проверува.
Истиот синдром и со прислушкувањето, тамо се слушнаа страшни работи, е сега извини ТИ НЕ СИ ЛОПОВ, битно било тој што го објавил тоа, демек ако не го објавел ТИ НЕ СИ ЛОПОВ, а сега поради тој што објавил НЕ СИ ЛОПОВ. Алооо и да објавел и да не објавил ЛОПОВ СИ Е ЛОПОВ, гревот е направен, последиците ги трпи народот.
Драги мои сограѓани, е баш поради тоа што ова елементарно неможе да се разбере и свати или несака да се разбере и свати, поради ОГРАНИЧЕНОСТ на УМОТ и СВЕСТА се доведовме во состојба од ЕУ да излегуваат со ЛИСТОВИ ХАРТИЈА на кои пишува зборови, како за деца во градинка што учат елементарни работи. СРАМОТА,
Јас да сум, веднаш го одземам правото на државност на вака упропастен систем, подобро едно 10 години да функционираме како ПОКРАИНА под контрола на било кого, само за да се прочистиме од ПОЛУПИСМЕНИ. Верувајте со НЕПИСМЕН ќе излезеш на крај, НЕПИСМЕН ќе го научиш, но на ПОЛУПИСМЕН никако неможеш да му укажеш или посочиш.
Калина, со ваков ментален склоп на Власта и народот ТИ СИ ВИНОВНА!. Значи правилата на Северна Кореа извинете Северна Македонија се следни:
– Државата е секогаш во право
– Ако е крива државата тогаш важи првото правило.
– Ако имаш различен став од власта тогаш си опозиција и мора да ТЕ НЕМА.
– Ако имаш различен став и од власта и од опозицијата тогаш ТИ ТРЕБА ПСИХОЛОШКА ПОМОШ.
Vlad, не сум загрижена, слободно може да се повика на мојата одговорност тука, но тогаш треба да се повика и на повисоката 🙂
Standardna praksa e obicno za prospustot da se izvesti sopstvenikot, a ako nema reakcija se odi “public”.
На јавните адреси за ова се известени институциите, пишано е во крај на постот 🙂
Од каде идејата дека авторот е виновен за откривањето на грешката? Грешката постоела авторот само ја открил, потполно го оправдувам јавното прикажување на грешката бидејќи во Македонија во било која институција да се обратиш и да им потенцираш каде направиле грешка и да им дадеш решение како да ја исправат ќе ти кажат дека ти си грешка, во Македонските институции вработените НИКОГАШ нема да признаат своја грешка.
@Vlad
Токму така, НЕЗНАЕЊЕ, не значи дека ако си трчал 5 години по митинзи ќе знаеш квалитетно и добро да програмираш, секој програмер доколку не се надоградува самиот себеси факултетската диплома нема да му значи апсолутно ништо после неколку години, ИТ светот се развива многу брзо и доколку не си во тек со новостите едноставно не си конкурентен.
@Зошто да не аднинимен
Секој пропуст во безбедноста на било кој интернет сајт посебно државен треба да се покаже јавно и за истиот да се даде решение, така функционира интернет општеството, така функционира светот, ова не е лошо напротив авторот укажал на безбедносен пропуст и треба да биде побарано советување од авторот за решение како да се отстрани безбедносниот пропуст. Гледај го ова вака:
Авторот се потрудил БЕСПЛАТНО со нејзините вештини и знаења да открие безбедносен пропуст во државен веб сајт, овој пропуст можел да се злоупотреби, авторот потрошил време кое го чинело изгубени пари за да укаже на пропустот, наместо обвинување треба да му/и се дадат пофалби.
И уште нешто за крај, во секоја нормална земја пронаоѓачот на пропустот досега ќе добиеше официјална потврда и пофалба за пронаоѓањето на пропустот и ќе му беше понудено работно место. За жал живееме во Македонија и авторот исто така за жал ќе мора да чита глупави обвинувања на својот блог
Абе луѓе, дај олабавете малку, факт е дека и ВМРО и СДСМ (и којзнае уште кој друг) ги имаат податоците од избирачкиот список кај нив, и истите со години наназад ги користат за сопствени потреби, но оваа ситуација не е уникатна само кај нас. Во законот може да пишува било што, односно како треба да биде, ама јасно е дека оние кои имаат моќ да донесуваат закони имаат моќ и да ги заобиколат, независно од која партија или организација и да се поставени.
Работата е, за државен орган и авторитет кој има задача да заштити нешто, кои принципи ги употребува за да го направи тоа. Moжеме да тргнеме од премисата шо се секирате, све е срање, ама може и да алудираме на кревање на нивото, зашто да не. Сите службеници кои биле платени за ова се фундирани од даночни обврзници.
Ne znam za vo Makedonija, ama bas pred nekoj mesec slusav predavanje deka gledanje podatoci koi ne se nameneti za tebe vo Evropa e kriminal, uste povekje nivno javno objavuvanje. Nesto kao – ako naletas na nesto sto ne smees da go vidis – ne smees da go gledas i dolzen si da go prijavis.
Pobarajte Whistleblowing. Kalina proveri ubavo so nekoj advokat vo Mk, da ne izleze ti da go jades stapot…
Inaku, za zal, se soglasuvam so site koi ja osuduvaat tvojata postapka. Obicno koga lugje naletaat na nesto takvo prvo im prakjaat mail na organizaciite, oni ja popravaat greskata i tek posle objavuvaat celosen tekst za toa, so kod i sve drugo. Toa vekje ima smisla, infrmativno e, a nikoj ne dobil necii licni podatoci.
A vaka? Sega cela drzava treba da stravuva deka ima ogromna (nasproti prvobitnata mala) sansa deka nekoj mu gi ima site licni podatoci?
Elvie, не мора да се согласуваме, секој постапува по сопствени вредности и превземање одговорност за истите. Инаку, не мислам дека претходно имало првобитна мала шанса да ги има некој сите лични податоци, напротив, јас имам минимално знаење, а ова го открив на прв поглед. Така да верувам дека има доста луѓе што или го злоупотребиле или само воздивнале на ова и си продолжиле. Јас алудирам на тоа дека треба да има лична одговорност за вакво нешто, пред се професионална, јас стојам зад напишаното во секој случај 🙂
Опа. Чекај, ај од почеток. Whistleblowing е толку општ термин што нема шанси некој да го најде изворот на та што си го чула за праксата во ЕУ земјите. Или дај линк да видиме за што станува збор или ништо. Бидејќи целово објаснување, ако видиш нешто што не смееш да видиш, веднаш да престанеш да го гледаш и да го пријавиш — звучи малце како расипан телефон. Од кај знам дали гледам нешто што не смеам да гледам? И како точно се докажува дека не сум престанал да гледам?
Ама вистинското прашање е дали Калина, во овој случај, треба да сноси некакава одговорност. И да, во земја во која сега едно печес луѓе би биле сменети од своите јавни функции, во земја во која фирмата што добила тендер (јбг, мора преку тендер) да го направи вебот би сносела последици, да, во таква земја можеби има смисла да се расправаме колку одговорност има граѓанин кој на проблемот укажал јавно. Арно ама во таква земја би имале и закон кој ги одредува тие работи. Македонија, денеска, не е таква земја.
Не само што Калина има право да пишува за сигурносните пропусти врзани со избирачкиот список туку има и должност. Ние мора да знаеме дека а) тие податоци се малтене фрлени на гумно, кој помине да си ги земе и б) луѓето кои треба да се грижат за тајноста на тие податоци се неспособни.
„еј, демек не сме знаеле, па они ги имаат сите податоци, они све си знаат, шоима везе, знаеме дека не ги бива, тоа не е оправдание…“ Бре, мајката? Значи неспособна банда чува тајни податоци ама девојката која докажува во три едноставни чекори дека се неспособна банда — е она била исто крива. Нема везе.
Вистинските теми кои би требале да ги имаме е зошто е ЕМБГ поврзан со избирачкиот список? Зошто е избирачкиот список таен (мала помош: заради ЕМБГ)? Како доаѓаме до избирачки список без општ попис на население? Како можеме да ја провериме веродостојноста на списокот ако не смееме да добиеме увид во истиот? Од друга страна, како да имаме јавен избирачки список без повреда на приватноста?
Како и да го свртиш, ако веќе се штити приватноста, тогаш одговорноста да се штити приватноста не почнува со Калина туку со државните органи имаат увид во приватните податоци по службен пат.
Инаку речено, никој од нас, според неименуваните ЕУ пракси, не смее да гледа како Калина го нашла exploit-от, ако веќе сте почнале да читате сте морале веднаш да престанете и мора да ја пријавите на надлежните органи. Бидејќи ако нема разлика меѓу тоа да знаеш да здиплиш пиво од коперација и тоа да си го здиплил, тогаш знаењето е злочинот, знаењето е лошо.
Follow up: http://novica.discindo.org/en/node/845