Môže mi prosím Vás niekto vysvetliť, v koho hlave sa zrodil nápad posielať dôchodkovú prognózu v ZIP súbore, ktorý je strašne ochránený 4 ciferným heslom ako posledné štvorčíslie z rodného čísla. To to mohli rovno poslať bez hesla. V koho chorej hlave sa toto zrodilo. Útok hrubou silou na heslo na mojom NB trval 1,6 sekundy. Ani nemusím vedieť programovať, kód vygenerovaný z AI, takže to zvládne asi aj moja -násť ročná dcéra, ak zvládne skompilovať zdroják, ktorý jej to dá. Vlastne ani to nemusí vedieť, AI jej to skompiluje. Ak povolí prístup.
2 Likes
Ono je to ešte lepšie. Keďže toto sa dá vyluskat za chvíľu, tak to navyše leakuje tú časť rodného čísla, ktorú bežne nevieš. 
3 Likes
Mne to prišlo ako nezaheslované PDFfko.
V ktorom je to rodné číslo pekne napísané celé.
A dokonca aj v doručenke v schránke je celé, doplnené menom.
Zaujímalo by ma, čo je horšie…
Asi jedina vec naco je tato trivialna ochrana mozno uzitocna je zabranenie emailovej sluzbe (e.g. Gmail a cielena reklama) aby nacitala obsah PDF automaticky a niekde ho pripadne neskor leakla.
1 Like
Celkovo pouzivanie rodneho cisla ako “hesla” vyslo len z chorych uradnickych hlav.
navyše leakuje tú časť rodného čísla, ktorú bežne nevieš
No samozrejme, ale to už ani nemalo zmysel písať. Pri takejto bezpečnosti to fakt radšej mohli poslať bez hesla, pre ľudí by to bolo jednoduchšie a aspoň by sa netvárili, že niečo chránia. Celé rodné číslo už nie je žiaden chránený údaj, keďže je v každom certifikáte a teda v každom podpise, inak by verejná správa nevedela podanie spracovať, lebo ma nevedia stotožniť a ich systémy bez RČ nefungujú, ale to už je len obohratá platňa, ktorú aj tak roky nikto nerieši.
1 Like
Vraj sa to týka najmä tých, čo nemajú aktívne doručovanie do elektronickej schránky a výpisy z druhého piliera (dobrovoľne) dostávajú elektronickou poštou. Mne to prišlo tiež.
“Ochrana” výpisu z druhého piliera je miliónkrát silnejšia, tam potrebujem celé desaťciferné rodné číslo
Mňa mrzí, že to PDF zo Sociálnej poisťovne má chybný elektronický podpis. Validátory, ktoré sa držia PKCS #1, ho neakceptujú. “Platný” je, len ak pri overovaní zopakujete chybu, ktorá sa deje pri podpise, alebo kvôli kompatibilite s tou chybou špecifikáciu vedome nedodržíte.
Kto to podpisovanie programoval, zrejme poriadne netestoval. Škoda.
1 Like
Vraj sa to týka najmä tých, čo nemajú aktívne doručovanie do elektronickej schránky a výpisy z druhého piliera (dobrovoľne) dostávajú elektronickou poštou
Mám aktivované doručovanie do elektronickej schránky (aj mi tam chodia dokumenty a správy) a výpis mi prišiel e-mailom.
Toto je take klasicke ze skomplikujme ludom zivot. Ale tak aby to nebranilo v kriminalite. To je v podstate rovnako mudre ako ked na platbu kartou staci mavnut alebo opisat cisla na karte. Ale ak chces vediet zostatok na ucte tak potrebujes meno heslo generovane bankou a 2FA mobilnu aplikaciu do ktorej sa treba prihlasit otlackom.
Slovami klasika “Tak určitééé“