Хакерима отворен пут до података грађана БиХ: Велики пропуст ИДДЕЕА

07.07.2026 08:51

Коментари:

0
ИДДЕЕА
Фото: ИДДЕЕА

Злонамјерним хакерима дословно је отворен пут до података грађана БиХ путем интернет сајта Агенције за идентификационе документе и размјену података (ИДДЕЕА).

Наиме, на страници ИДДЕА, у секцији за удаљене дигиталне потписе, уочен је школски примјер цурења информација (Information Disclousure), вјероватно настао усљед неадекватног руковања грешкама у продукцији (Importer Error Handling).

Како је извор АТВ-а појаснио, када систем наиђе на проблем, умјесто генеричке поруке, кориснику се приказује сирова техничка грешка из базе података (ORA-06502 i ORA-22275: invalid LOB locator).

Зашто је ово проблематично?

Иако сам по себи овај пропуст не значи да је систем компромитован, он потенцијалним нападачима бесплатно ради извиђање (reconnaissance), објашњава даље наш извор.

"Из само једне поруке о грешци, архитектура у позадини је откривена – јасно је да се користи Oracle база и PL/SQL", каже он.

Пропуст на сајту ИДДЕЕА
Пропуст на сајту ИДДЕЕА

У преводу, овај пропуст нападачима драстично сужава фокус и омогућава им да циљано траже познате рањивости.

Извор АТВ-а даје до знања да се овакве ствари не смију дешавати, те да су смјернице OWASP-а (фондације која функционише као глобална заједница са једним главним циљем: побољшање безбједности софтвера) потпуно јасне.

"За корисника: Приказује се сигурна, генеричка порука (нпр. "Дошло је до техничке грешке, покушајте поново"). За администраторе: Стварни stack trace (текстуални извјештај који програмски језик или оперативни систем прикаже када у коду дође до грешке) и детаљи грешке се тихо и сигурно биљеже у интерне логове којима приступају искључиво инжењери. ​Када градимо и имплементирамо системе који баратају идентитетима грађана, Security by Design (сигурност интегрисана у сами дизајн) и строго контролисана архитектура не смију бити опција, већ апсолутни императив", објашњава наш извор.

На крају, он наглашава да би сигурност државних апликација морала бити на највишем могућем нивоу, посебно када је ријеч о системима који обрађују осјетљиве податке грађана, попут апликација за дигитално потписивање.

Преузимање дијелова текста или текста у цјелини је дозвољено уз обавезно навођење извора и уз постављање линка ка изворном тексту на порталу atvbl.rs.

Подијели: