Vijesti 07.07.2026.

Hakerima otvoren put do podataka građana BiH: Veliki propust IDDEEA

ČITANJE: 2 minute

Zlonamjernim hakerima doslovno je otvoren put do podataka građana BiH putem internet sajta Agencije za identifikacione dokumente i razmjenu podataka (IDDEEA).

Naime, na stranici IDDEEA, u sekciji za udaljene digitalne potpise, uočen je školski primjer curenja informacija (Information Disclousure), vjerovatno nastao usljed neadekvatnog rukovanja greškama u produkciji (Importer Error Handling).

Kako je izvor ATV-a pojasnio, kada sistem naiđe na problem, umjesto generičke poruke, korisniku se prikazuje sirova tehnička greška iz baze podataka (ORA-06502 i ORA-22275: invalid LOB locator).

Zašto je ovo problematično?

Iako sam po sebi ovaj propust ne znači da je sistem kompromitovan, on potencijalnim napadačima besplatno radi izviđanje (reconnaissance), objašnjava dalje naš izvor.

“Iz samo jedne poruke o grešci, arhitektura u pozadini je otkrivena – jasno je da se koristi Oracle baza i PL/SQL”, kaže on.

U prevodu, ovaj propust napadačima drastično sužava fokus i omogućava im da ciljano traže poznate ranjivosti.

Izvor ATV-a daje do znanja da se ovakve stvari ne smiju dešavati, te da su smjernice OWASP-a (fondacije koja funkcioniše kao globalna zajednica sa jednim glavnim ciljem: poboljšanje bezbjednosti softvera) potpuno jasne.

“Za korisnika: Prikazuje se sigurna, generička poruka (npr. “Došlo je do tehničke greške, pokušajte ponovo”). Za administratore: Stvarni stack trace (tekstualni izvještaj koji programski jezik ili operativni sistem prikaže kada u kodu dođe do greške) i detalji greške se tiho i sigurno bilježe u interne logove kojima pristupaju isključivo inženjeri. ​Kada gradimo i implementiramo sisteme koji barataju identitetima građana, Security by Design (sigurnost integrisana u sami dizajn) i strogo kontrolisana arhitektura ne smiju biti opcija, već apsolutni imperativ”, objašnjava naš izvor.

Na kraju, on naglašava da bi sigurnost državnih aplikacija morala biti na najvišem mogućem nivou, posebno kada je riječ o sistemima koji obrađuju osjetljive podatke građana, poput aplikacija za digitalno potpisivanje.