AJPES z varnostno luknjo

Pred dnevi je bilo na portalu Slotech videti, da so prejeli anonimno obvestilo, ki opozarja na varnostno luknjo v Agenciji RS za javnopravne evidence in storitve (AJPES). S pomočjo t.i. SQL vrivanja (SQL Injection) je (bilo) namreč iz zalednega sistema dosegljivo 59 baz z imeni CRP_presek, eObjave, ePodpis, eRtr, eVem_GD, eVem_SP, Rtr, RZIJZ, zPrs3, zRdz, zRtr, zRZPP itd. Gre torej za baze poslovnega registra, registra transakcijskih računov, registra prostovoljcev in oseb, ki opravljajo dopolnilno delo, kopije centralnega registra prebivalstva itd. Baze so morda le testne, vendar vsebujejo realne podatke. Zaenkrat ni dokazov, da bi bili dosegljivi podatki kakorkoli odtujeni in zlorabljeni; SI-CERT pravi, da bo to dokončno potrdila ali ovrgla analiza podatkov na AJPESu.

Varnostno luknjo so pri AJPESu že zakrpali.