Pokaż wyniki 1 do 4 z 4

Temat: Wszystkie dokumenty z systemu obiegu dokumentów dostępne w sieci (głównie instytucje

  1. #1
    Zarejestrowany
    Aug 2012
    Postów
    1

    Domyślnie Wszystkie dokumenty z systemu obiegu dokumentów dostępne w sieci (głównie instytucje

    System jednej z firm informatycznych zawiera ciekawą funkcję udostępniającą wszystkie dane z systemu -
    dla przykładu pod numerem 20023 mamy formularz z danymi osobowymi użytkownika (login hasło pesel itp.)

    link - USUNIETY

    (w celu dostępu do innych dokumentów zmieniamy numerek dokumentu) wystarczy zawartość data rozbejzować np. za pomocą Base64 Decode and Encode - Online i otrzymamy

    login: USUNIETY@interia.pl następnie hasło: USUNIETY i pesel pana Rafała USUNIETY

    później możemy się zalogować do ESP i przeglądać wszystkie wnioski i odpowiedzi tego użytkownika 

    Ciekawe czy to pomyłka czy świadoma furtka umożliwiająca dostęp do dokumentów w kilku kluczowych instytucjach. System firmy jest wdrożony np. w Kancelarii Prezesa Rady Ministrów; Komisja Papierów Wartościowych i Giełd (obecnie KNF); Ministerstwie Transportu i wielu innych pełniejsza lista klientów Rodan Systems S.A. - Lista referencyjna.
    Ostatnio edytowane przez TQM : 08-08-2012 - 11:12 Powód: Usuniecie wrazliwych informacji

  2. #2
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Pozwolilem sobie wyedytowac powyzszy post poniewaz zawieral linki do dokumentow zawierajacych dane osobowe a nie jest to rodzaj informacji ktory powinien pojawiac sie na forach.


    Blad (bo tak to mozemy na razie nazwac) jest ciekawy... tyle ze moze nie byc bledem tak do konca a jedynie czyms w rodzaju API do ktorego dostep ktos zapomnial zablokowac. Nie raz widzialem takie przypadki ze jakis magiczny URL byl magiczny tylko dlatego ze nie byl nigdzie podlinkowany publicznie i google albo inny spider go nie znalazl... a kto znal ten URL mial dostep do wszystkiego :-)

    Ciezko powiedziec - to temat do rozstrzygniecia dla autorow/adminow/operatorow systemu.


    UWAGA FORUMOWICZE:
    Prosze wiecej nie publikowac danych osobowych na forum - taki nieodpowiedzialny ruch moze bardzo zaszkodzic ducha winnym osobom. Zachowujmy sie wiec jak odpowiedzialni, dorosli ludzie, nawet jesli nie ukonczyliscie jeszcze 18 lat...
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  3. #3
    Zarejestrowany
    Jan 2009
    Postów
    836

    Domyślnie

    TQM ma rację - ze swojej strony NLPiczną odpowiedź dam taką, aby każdy sobie wyobraził, że tam są opublikowane jego dane. Chyba nikt z was by nie chciał aby publicznie były na forum dostępne wasze zdjęcia nazwiska i miejsca zamieszkania z dokładnym adresem: )

  4. #4
    Zarejestrowany
    Nov 2006
    Skąd
    Polska/Poland
    Postów
    1,191

    Domyślnie

    "It is not a bug, it's feature"
    ***********
    * markossx *
    ***********

Zasady Postowania

  • Nie możesz zakładać nowych tematów
  • Nie możesz pisać wiadomości
  • Nie możesz dodawać załączników
  • Nie możesz edytować swoich postów
  •  
Subskrybuj