Hasło do systemu wyborczego na stronie urzędu – Ty też mogłeś testować

dodał 28 kwietnia 2015 o 14:19 w kategorii Info  z tagami:
Hasło do systemu wyborczego na stronie urzędu – Ty też mogłeś testować

Na stronie jednego z urzędów od kilku dni dostępne były dane potrzebne do logowania do wersji szkoleniowej i testowej systemu Wsparcia Organów Wyborczych. Każdy, kto je poznał, mógł wziąć udział w dzisiejszych testach wydajnościowych.

System wspierający tegoroczne wyboru prezydenckie został wyposażony w trzy udostępnione użytkownikom środowiska – szkoleniowe, testowe oraz produkcyjne. W środowisku testowym przeprowadzano dzisiaj testy wydajnościowe, w których teoretycznie mógł wziąć udział każdy przypadkowy internauta.

Login i hasło na stronie urzędu

Poznański Urząd Miasta postanowił najwyraźniej znacząco rozszerzyć zakres testów platformy wspierającej nadchodzące wybory prezydenckie i w sekcji Pomoc Techniczna opublikował login i hasło dla użytkowników testowych.

Login i hasło opublikowane na stronie urzędu

Login i hasło opublikowane na stronie urzędu

Według naszego informatora hasło jeszcze chwilę temu pozwalało na dostęp do systemu testowego.

Ekran systemu wyborczego

Ekran systemu wyborczego

Urząd nie widzi ryzyka

Kiedy tylko otrzymaliśmy taką informację, zgłosiliśmy to urzędowi. Bardzo szybko otrzymaliśmy odpowiedź zastępcy dyrektora Wydziału Organizacyjnego urzędu, pana Wojciecha Kasprzaka, która trochę nas zaskoczyła:

Nie wiedzę żadnego zagrożenia, loginy i hasła oraz kody zostały wygenerowane tylko na testy i szkolenia i zostaną po testach SI przed dniem głosowania unieważnione. Osoby funkcyjne i operatorzy będą posiadać własne, indywidualne kody dostępu inne niż testowe. Przekazywane i doręczane indywidualnie za potwierdzeniem odbioru. Dodatkowo komputery obsługujące komisje będą certyfikowane. Testy mają charakter wydajnościowy.

Może nasze standardy bezpieczeństwa, wsparte doświadczeniem z poprzednich wyborów, są nieco przesadzone, ale widzimy kilka ryzyk związanych z takim podejściem:

  • wpuszczenie osób nieautoryzowanych do systemu testowego lub szkoleniowego zwiększa ryzyko przełamania jego zabezpieczeń (bez znajomości infrastruktury środowisk testowych i produkcyjnych a szczególnie poziomu ich separacji trudno rozważać dalsze skutki, ale nie można też założyć ich braku a potencjalne błędy wykryte w środowisku testowym być może da się wykorzystać do ataku na środowisko produkcyjne)
  • nieautoryzowany dostęp do środowiska testowego w trakcie testów wydajnościowych mógł np. spowodować nieprawdziwy wynik testów
  • jak pokazał przykład Wrocławia posiadacz hasła do wspólnego konta mógł je modyfikować, utrudniając dostęp innym użytkownikom systemu w trakcie testów

Publiczne udostępnienie loginu i hasła do systemu testowego nie spowodowało żadnych bezpośrednich konsekwencji, jednak w tak delikatnej materii jaką są wybory prezydenckie chyba lepiej jest dmuchać na zimne.

Aktualizacja 2015-04-28 15:00
W tym samym serwisie internetowym można także pobrać plik ZIP, opisany jako lista jednorazowych kodów testowych przewodniczacych okw (002-257) (ZIP, 910.81KB) który de facto nazywa się Lista kodow na bazie produkcyjnej 002 – 257.zip. To produkcyjnej czy testowej?