Článek
Odhalit zásadní chybu, díky které se mohl zaregistrovat přednostně na očkování, přestože seniorského věku ani náhodou nedosahuje, se mu podařilo za pouhých 15 minut.
„Jsem studentem softwarového inženýrství na Univerzitě Tomáše Bati ve Zlíně. Internetová bezpečnost je mým koníčkem, proto mě napadlo se na celý formulář podívat trochu detailněji,“ prohlásil student pro Novinky.cz.
Podle vlastních slov ho ani nenapadlo, že objeví chybu tak rychle. V podobných robustních systémech, jakým by měl registrační systém pro celý národ bezesporu být, totiž může trvat klidně i hodiny, než někdo nějakou zranitelnost odhalí. A v ideálním případě se to ani po mnoha hodinách nepodaří.
Systém registrace k očkování kolaboval
To ale není případ českého registračního formuláře na očkování proti covidu–19. Pro neznalého člověka to samozřejmě nemusí být úplně jednoduché, ale i trochu technicky zdatnější člověk, který rozumí kódu webových stránek, se může touto cestou zaregistrovat.
Koneckonců přesně to mladý student udělal. Jak je vidět na videu výše, registračním formulářem prošel i s rodným číslem, které odpovídá 24letému člověku. Následně mu dokonce přišel i druhý PIN kód, který je nezbytný pro následný výběr termínu k očkování.
24letý student softwarového inženýrství Filip Šedivý
Upravil pár parametrů
Přestože celý systém má být navržen tak, aby nepustil v současnosti k registraci člověka mladšího 80 let, Filip vše obešel skrze konzoli internetového prohlížeče.
„Otevřel jsem si průzkumníka prvků a v kódu rezervačního systému upravil několik atributů. V drtivé většině pouze přepsal hodnotu False na True, tedy nepravda na pravda. Protože rezervační systém nevaliduje znovu údaje na serveru, ale pouze přebírá data ze strany klienta, tak touto úpravou v kódu umožnil uživateli vytvořit si rezervaci a odeslat mu důležitý druhý PIN kód,“ vysvětlil technickou stránku věci Filip.
Babiš: Systém nezkolaboval. Byl přetížen
„Poté jsem už jen upravil čistě text zaškrtávacího pole požadovaného věku a opět v kódu přepsal hodnoty. Odsouhlasil údaje, a systém mě úspěšně registroval a následně pustil k rezervaci termínu očkování,“ podotkl 24letý student.
Správně by jej přitom po zadání rodného čísla systém k dalším krokům registrace pustit neměl. „Na serveru by měl znovu zkontrolovat odeslané údaje, vyhodnotit je jako chybné a uživatele upozornit na to, že nesplňuje požadovanou věkovou hranici a k registraci ho tak nepustit,“ uzavřel Filip.