Elavult, sérülékeny elemeket találtak a NAIH honlapján

Elavult, sérülékeny elemeket találtak a NAIH honlapján

Támadás alatt.  

Érdekes levél esett be augusztus második hetében szerkesztőségünkhöz, melyet egy álnéven jelentkező olvasónk, X küldött. Az üzenet a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) honlapjának adatvédelmi hiányosságait taglalta – az talán X jó szándékát jelzi, hogy a levelet elsőként a NAIH kapta meg, hozzánk csak továbbított formában érkezett. „Olvastam 1-2 határozatukat (…) Ha már ilyen komolyan veszik a frissítések kezelését és a rendszerek biztonságát, gondoltam, ránézek, mekkora lyuk van a suszter cipőjén” – írta a hatóságot megszólító ismeretlen, aztán sorolta is a laikusnak keveset mondó, a kiberbiztonsági szakértők számára egyértelmű kockázatot jelentő lyukakat.

„A CMS – tartalomkezelő Joomla! megoldásuk 1 éve nem lett frissítve. A JQuery JavaScript könyvtárból, ami az oldalt kezeli, 2016-os verzió van kint (UI-ból 2019-es). Általánosságban elmondható, hogy 1–8 éve nem voltak frissítve a weboldal alapkomponensei. A feltárt hibák alapján, ha a tartalomkezelőt megpiszkálná valaki és a feltöltött határozatok helyére más kerülne, akkor 1-2 személynek sűrű napja lenne. :-)” – írta X, hangsúlyozva, hogy ingyenes penetrációs tesztoldalakat használt, amelyek „végigkopogtatják” a honlapot, biztonsági réseket keresnek a felületen.

A feltárt hibák azért kínosak, mert a NAIH határozataiban rendszeresen oszt ki 10–20 milliós, de akár nagyobb bírságokat is az állami és piaci szereplőknél kibukó adatvédelmi incidensek miatt.

• Milyen problémákat talált a névtelen bejelentő?
• 
Mit gondolnak a lapunknak nyilatkozó kiberbiztonsági szakértők?
• 
Miért kockázatos kéretlenül tesztelgetni cégek vagy állami szervek honlapjait?
• 
Mit mond a feltárt sérülékenységekről a NAIH?