Warning: Illegal string offset 'chk_default_options_css' in /wp-content/plugins/dw-shortcodes-bootstrap/designwall-shortcodes.php on line 32
Wyciek danych ze strony www.legionowo.pl | Legionowo

Wyciek danych ze strony www.legionowo.pl

| władze i inne instytucje
www.legionowo.pl bez włączonej grafiki

www.legionowo.pl bez włączonej grafiki

W moim poprzednim tekście opisałem niezgodność nowej strony www.legionowo.pl z treścią umowy zawartej pomiędzy UM, a firmą realizującą zlecenie. Kolejnego dnia, że ratusz zaczął powoli usuwać wytknięte w tekście ewidentne buble… Niestety ujawniają się kolejne, groźniejsze błędy witryny.

Niestety w czasie tych obserwacji z boku potwierdziły się moje osobiste zastrzeżenia dot. „fachowości” realizacji zlecenia. Napisałem, że widząc w kodzie strony pojawianie się znaków unikowych mogę domniemywać, że autorzy strony maja nie za duże pojecie o robocie na która się porwali (brak zrozumienia procesów zachodzących na styku BD/parser). Niestety szybko się przekonałem, że moje obawy nie były bezpodstawne…

Co jakiś czas zaglądam do rubryki pytania do el Presidente :). Tak też zrobiłem dziś. Ostatnia odp. z 4.11, a więc miejski gospodarz nadal ma w nosie pytania mieszkańców. Jednak przy okazji zauważyłem pojawienie się nowej opcji w pytaniach, tj. wyszukiwarki.

Szybko wrzuciłem do niej hasło „straż”, ponieważ chciałem zobaczyć jak często El Presidente spławia mieszkańców magicznym hasłem „Pana(i) uwagi zostały przekazane do SM„. Wynik zwrotny zaskoczył mnie bardzo, ponieważ moim oczom ukazały się zarówno pytania i udzielone na nie odpowiedzi… bonusowo dostałem również pytania, które ratusz „olał”.

Zacząłem więc zadawać kolejne pytania „policja”, „szpital”, „szkoła” za każdym razem rzecz jasna wynik zawsze zawierał również pytania zakopane, przez służby PRowe ratusza, pod dywan… Postanowiłem więc zadać zapytanie, które zwróciłoby wszystkie pytania zadane przez mieszkańców.

Wpisałem więc pusty ciąg zwraca tylko pytania z odpowiedziami – oznacza to więc, że twórcy strony „zabezpieczyli” wyszukiwarkę przed jej wykorzystaniem do poznania wszystkich pytań… Czytelnik już wie, że jednak nie zabezpieczyli… Chwila zastanowienia i do wyszukiwarki poszedł ciąg znaków zawierający tylko i wyłącznie literkę a (w polszczyźnie raczej nie oświadczymy zdania bez tego znaku :). Wynik zwrócił 397 stron zawierających wszystkie pytania do El Presidente.

Wydawać by się mogło, że ten błąd to tylko szkoda wizerunkowa dla miłościwie nam panującego ratuszowego gospodarza,. Szybko sam siebie wyprowadziłem z błędu. Już pobieżny rzut oka pokazuje, że w pytaniach pojawiają się dane osobowe pytających (imię, nazwisko, mail, telefon), dane dot. spraw poruszanych na osobistych spotkaniach z prezydentem, etc. Niektórzy autorzy wpisów jasno zaznaczają, że nie wyrażają zgody na publikacje ich pytania… Zatem w sumie prosty błąd logiczny wynikający ze słabej „fachowości” autora/autorów strony, nagle przeradza się w poważną lukę otwierającą dostęp do danych osobowych.

Co ciekawe pytania bez odpowiedzi zaczynają się pojawiać dopiero od początków lipca 2010. W poprzednim systemie albo takie pytania były od razu  usuwane, albo je odpowiednio oznaczano, albo po prostu ich nie zaimportowano do nowego (to tym bardziej obciąża osoby realizujące nową stronę).

Niniejszy tekst powstał w 17 listopada. Publikacja tekstu nastąpi automatycznie 18.11 o godz. 08:50 to czas jaki daje „specom” od strony (oczywiście uprzednio otrzymali opis błędu). Niestety na brak terminowej reakcji ze strony UM, tekst został wyłączony o 09:00 i ponownie włączony o 09:50 (o tej godzinie dostęp do danych został zablokowany).

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

Możesz użyć następujących tagów oraz atrybutów HTML-a: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>