Content
Informācijas noplūde no Valsts probācijas dienesta mājaslapas
Kategorija: Datu drošība + Incidenti + Personas dati + Valsts probācijas dienests
Drošības pārkāpumu testētājs «Influent» atklājis «caurumu» Valsts probācijas dienesta (VPD) interneta mājaslapā «www.probacija.lv».Kā pārliecinājās aģentūra LETA, izmantojot minētās mājaslapas tehniskās nepilnības, ikvienam interneta lietotājam bija iespējams iegūt informāciju par dienestā strādājošo ierēdņu algām, kā arī viņu personīgos datus.
Izmantojot būtiskus pārkāpumus mājaslapas drošībā, «ir iespējams iegūt un manipulēt ar pilnīgi visu informāciju, kura atrodas uz servera, ieskaitot pašu serveri», norādīja «Influent». Drošības testētāji esot informējuši par atrasto «caurumu» arī pašu VPD, bet atbildi no tā neesot sagaidījuši.
Nesaņemot atbildi, nolēma testa rezultātus publicēt? Parasti pirms katra drošības testa tiek atrunāts privātums un sensitīvas informācijas neizpaušana trešajām personām.
Adrese uz visiem publiski pieejamajiem VPD failiem, kas augšupielādēti uz servera, bija gluži vienkārša – «www.probacija.lv/upload». Tomēr īsi pēc aģentūras LETA ziņas publicēšanas minētais «caurums» tika «aizlāpīts», līdz ar to dati publiskajā vidē vairs nav pieejami.
Patlaban ir novērsta direktorijas automātiska indeksēšana ar tukšu index failu, taču izmantojot meklētāju, saglabātajās kopijās aizvien iespējams uzzināt failu atrašanās vietu un nosaukumus un tos lejupielādēt.
TVNET: http://www.tvnet.lv/zinas/latvija/407556-probacijas_dienesta_majaslapa_caurums_pieejamas_ierednu_algas
Apollo: http://www.apollo.lv/portal/news/articles/262237
2012-01-18 » edgars
Re: Informācijas noplūde no Valsts probācijas dienesta mājaslapas
18 January 2012 @ 18:48
Directory listing pirms daudziem gadiem nav nekas, 2012. – pirmā lapa :)
PS: Algas vienkārši graujošas+tik daudz cilvēku!
18 January 2012 @ 20:36
Vai kāds paspēja novilkt Code.rar ? :)
http://blackhalt.blogspot.com/2012/01/probacijalv-index-of.html
18 January 2012 @ 21:05
Nu tak fuflo. Upload mape, ka jau parasta cms mape ar a+w vai o+w tiesiibam. Vieniigi apache configaa nebija atsleegts directory listing, respektiivi ja nav DirectoryIndex faila index.html, index.php tad browseii smuki izkaartoja mapes saturu. /inc/. Upload mapee esoshais saturs, bija paredzeets publiskam downloadam- viennoziimiigi. Lieka breeka
18 January 2012 @ 21:08
btw «Influent» cik var saprast ir kidospammeris Neisen, ar kompaaniju :D
18 January 2012 @ 21:56
1) kā saprotu, tad tas kas atradās /upload direktorijā tāpat bija paredzēts publicēšanai.
2) kas tas influent tāds ir? sia nosaukums vai hakaza nikneims?
18 January 2012 @ 22:11
1) Daļu jā, code.rar un kautkādus citus mēslus gan jau nē
2) Sāk likties ka žurnaļugas nolaiduši lažu un kautkādu kidozu pataisijuši par mega ekspertu.
19 January 2012 @ 00:01
Jā, kas tas Influent tāds vispār ir ?
27 January 2012 @ 17:06
nejauši pamanīju šādus faktus:
Nils Putniņš
CEO at Influent
http://www.facebook.com/thistehneisen
acīmredzot lielais novērotājs un caurumu meklētājs caur google.
29 January 2012 @ 21:20
Reģistrācijas datums: 13.10.2011.
Reģistrācijas numurs: 44103070869
Firma: sabiedrība ar ierobežotu atbildību “Influent”
Adrese: Limbažu nov., Limbaži, Jaunā iela 23-27
Parakstītais pamatkapitāls: 2 LVL
Apmaksātais pamatkapitāls: 2 LVL
Valde: Ivo Brauns, personas kods 020289-XXXXX, valdes loceklis, ar tiesībām pārstāvēt kapitālsabiedrību atsevišķi
Nils Putniņš, personas kods 080592-XXXXX, valdes loceklis, ar tiesībām pārstāvēt kapitālsabiedrību atsevišķi
Publikācijas Nr.: KMR00053539927070.