W trakcie poprzednich wyborów, błąd SQL injection na serwerach KBW spowodował kradzież haseł użytkowników. Wydawać by się mogło, że takie zdarzenie zapala ostrzegawczą lampeczkę i wymusza na odpowiedzialnych za informatyzację KBW i PKW instytucjach porządne testy bezpieczeństwa infrastruktury w celu niedopuszczenia do ponownej sytuacji tego typu.
Niestety, jeśli rzeczywiście testowano serwisy KBW, to przeoczono przynajmniej jeszcze jeden błąd tego typu… Szczęśliwie dla KBW, tym razem jego znalazca nie miał złych intencji.
W imieniu odkrywcy błędu przekazaliśmy dziś informację na jego temat o KBW — i luka została błyskawicznie usunięta. Za czas reakcji zamykający się w 30 minutach (w trakcie dnia testów systemu WOW) pracownikom KBW należą się brawa.
Miejmy nadzieję, że pozostałe skrypty udostępnione w domenach KBW są już wolne od błędów i nie zakłócą pracy serwerów KBW w dniu wyborów.
PS. Wszystkim, którzy w czynie społecznym rozważają teraz odpalanie sqlmapa na serwerach KBW przypominamy, że nieautoryzowane testy penetracyjne mogą się źle skończyć…