AJPES z varnostno luknjo

Portal Slotech poroča, da so prejeli anonimno obvestilo, ki opozarja na varnostno luknjo v Agenciji RS za javnopravne evidence in storitve (AJPES). S pomočjo t.i. SQL vrivanja (SQL Injection) je (bilo) namreč iz zalednega sistema dosegljivo 59 baz z imeni CRP_presek, eObjave, ePodpis, eRtr, eVem_GD, eVem_SP, Rtr, RZIJZ, zPrs3, zRdz, zRtr, zRZPP, itd. Gre torej za baze poslovnega registra, registra transakcijskih računov, registra prostovoljcev in oseb, ki opravljajo dopolnilno delo, kopije centralnega registra prebivalstva, itd. Baze so morda le testne, vendar vsebujejo realne podatke. Zaenkrat ni dokazov, da bi bili dosegljivi podatki kakorkoli odtujeni in zlorabljeni; SI-CERT pravi, da bo to dokončno potrdila ali ovrgla analiza podatkov na AJPESu.

Varnostno luknjo so pri AJPESu že zakrpali.