Štát fatálne nezvládol spustenie dotácií na elektromobily, zvaľuje to na hackerov

Štát dnes fatálne nezvládol spustenie registrácie záujemcov o dotáciu na kúpu nového elektromobilu, keď registračný formulár v bežných moderných prehliadačoch nefungoval a štát registráciu následne predčasne zrušil. Práve poradie pri tejto registrácii bude ale rozhodujúce pre určovanie poradia žiadateľov a v prípade väčšieho záujmu pre pridelenie dotácie. Formulár bol nefunkčný kvôli technickej chybe, štát ale neodpovedal na otázky a zverejnil iba stručné stanovisko. Vysokopostavený predstaviteľ ministerstva mal navyše podľa dostupných informácií avizovať ako dôvod problémov hackerský útok.

Značky: e-governmentelektromobilySlovensko

DSL.sk, 11.12.2019

Štát dnes fatálne nezvládol spustenie registrácie záujemcov o dotáciu na kúpu nového elektromobilu, keď registračný formulár v bežných moderných prehliadačoch nefungoval a štát registráciu následne predčasne zrušil.

Registrácia mala odštartovať o 12:00. Práve poradie pri tejto registrácii bude rozhodujúce pre určovanie poradia žiadateľov a v prípade väčšieho záujmu pre pridelenie dotácie.

Zlé nastavenie CORS

Záujemcovia mali najskôr problém nájsť odkazy na registráciu, ktoré sa nenachádzali na hlavnej stránke www.chcemelektromobil.sk a zrejme sa tu nenachádzali ani jasné informácie kde ich hľadať.

Závažný problém bola ale samozrejme predovšetkým nefunkčnosť stránok pre jednotlivé typy žiadateľov, kde sa má nachádzať formulár pre registráciu. Po otvorení stránky táto zobrazovala iba hlášku Načítavam, ďalšie kroky sa neuskutočnili.

Ako zachytil jeden z čitateľov DSL.sk v čase po spustení, prehliadač v konzole informoval o problémoch s nastavením CORS, Cross-Origin Resource Sharing, a nenačítaní URL kvôli týmto problémom.

CORS je mechanizmus webovej bezpečnosti, ktorý umožňuje napríklad JavaScript kódu na stránke pristupovať k URL na iných doménach. Web server na tejto inej doméne musí v HTTP hlavičke Access-Control-Allow-Origin vracať doménu, stránky z ktorej môžu pristupovať k tejto URL.

Formuláre na https://www.chcemelektromobil.sk mali problém s CORS prístupom k URL na https://webadmin.chcemelektromobil.sk. CORS minimálne v čase zachytenia čitateľom bol nastavený, ale nesprávne. URL mali totiž cez Access-Control-Allow-Origin nastavené dve hodnoty, https://www.chcemelektromobil.sk a *, štandard ale zrejme dovoľuje len jednu hodnotu, okrem iného Chrome a Firefox to vyhodnotili ako chybu a prístup k URL na webadmin.chcemelektromobil.sk nedovolili.

Ako presne vyzerala vracaná hlavička po dvanástej nie je jasné. Tvorcovia sa evidentne snažili problém odstrániť, nepodarilo sa im to zrejme ale na prvýkrát. Neskôr poobede totiž webadmin.chcemelektromobil.sk vracal dve hlavičky Access-Control-Allow-Origin s rovnakou hodnotou *, ani toto napríklad Firefox neakceptoval. Až neskôr začali URL vracať už iba jednu hlavičku Access-Control-Allow-Origin.

Dôsledky

Stránka s registráciou takto neúspešne načítavala aj URL https://webadmin.chcemelektromobil.sk/api/form-enabled. Ako ukazuje zbežná analýza HTML a JavaScript kódu stránky z poobedia, formulár pre registráciu sa na stránke nachádza je ale štandardne skrytý.

Dáta stiahnuté z URL api/form-enabled zrejme určujú, či sa formulár zobrazí. Keď prehliadač ale kódu nedovolil stiahnuť túto URL, formulár sa neaktivoval.

Iné problémy a vplyvy na web sa samozrejme nedajú vylúčiť, nefunkčnosť registrácie ale spôsoboval aj samotný uvedený problém s CORS a počas jeho trvania registrácia zo štandardných prehliadačov nefungovala.

CORS je mechanizmus aplikovaný webovými prehliadačmi a jeho uplatňovanie sa dá vypnúť, napríklad v prehliadači Chrome pri spustení s parametrom --disable-web-security. Návody ako si registráciu sprístupniť sa postupne začali šíriť a evidentne sa časť užívateľov zaregistrovala takýmto spôsobom.

Následne okolo jednej bola ale registrácia štátom zastavená, hoci mala fungovať do 20:00.

Štát to zvalil aj na hackerský útok

Minister hospodárstva po rokovaní vlády uvádzal, že za prvú pol hodinu dostali žiadosti na 1.2 milióna eur. Avizoval informáciu o "skolabovaní stránky," pričom kontext zrejme naznačoval že malo ísť o skolabovanie pre vysoký záujem. Či v skutočnosti išlo o informáciu o tejto nefunkčnej registrácii nie je jasné.

Štátny tajomník ministerstva hospodárstva, pod ktoré podpora spadá, mal riaditeľovi organizácie SEVA, Slovak Electric Vehicle Association, dokonca avizovať, že dôvodom nefunkčnosti registrácie je napadnutie hackerským útokom.

Ministerstvo aj SIEA, Slovenská Inovačná a Energetická Agentúra, ktorá projekt zabezpečuje, v stručnom oznámení avizujú, že žiadosti boli pozastavené a dôvodom sú "neočakávané technické príčiny a množstvo neoprávnených zásahov z externého prostredia".

Avizujú predpokladaný termín spustenia rezervácií opäť na zajtra 12. decembra o 12:00, čo bude s dnes uskutočnenými registráciami stručné stanoviská neuvádzajú.

Ministerstvo hospodárstva ani SIEA na žiadne otázky DSL.sk do času publikovania článku neodpovedali. Okrem iného tak neodpovedali ani na to, o akom hackerskom útoku hovoril štátny tajomník.

Neodpovedali ani na to ako a či vôbec bola služba testovaná.




Najnovšie články:



Diskusia:

1.2ml Od: onem | Pridané: 11.12.2019 20:29 nejaky robotik si poslal ziadosti za 1.2 mega :D Odpovedať Známka: 7.9 Hodnotiť:

Re: 1.2ml Od: martincc | Pridané: 11.12.2019 21:05 Ked ponukaju IT specialistovi 1000 hrubeho nech sa necuduju je to hanba statu a debilov ktori ho riadia. Odpovedať Známka: 7.3 Hodnotiť:

Re: 1.2ml Od: fdasaa | Pridané: 11.12.2019 21:41 Asi sa im malilo zaplatit esta aj za penetracny test. Odpovedať Známka: 8.3 Hodnotiť:

Re: 1.2ml Od: dj_v | Pridané: 12.12.2019 6:46 Snáď nebudú do ponuky priznávať peniaze na čierno... 1000 v hrubom, ostatné na ruku :D Odpovedať Známka: -2.9 Hodnotiť:

Re: 1.2ml Od: ujo tomas | Pridané: 12.12.2019 8:53 Nie, oni naozaj daju len tu 1000 v hrubom a este budu aj zdierat a vyzadovat nadcasy zdarma. Odpovedať Známka: 7.8 Hodnotiť:

Re: 1.2ml Od: Kalkulacka365 | Pridané: 12.12.2019 10:27 Asi mam chybny browser. Nejdú mi hypertextove odkazy a nikde nevidim ani "tu". Odpovedať Známka: 3.3 Hodnotiť:

Re: 1.2ml Od: dj_v | Pridané: 12.12.2019 11:17 To bol sarkazmus ;) Je mi jasné, že za tým žiadne peniaze na čierno nie sú. Odpovedať Známka: 6.0 Hodnotiť:

Re: 1.2ml Od: localghost | Pridané: 12.12.2019 8:50 Ostalo len na defloracny test a ten dopadol. Odpovedať Známka: 8.0 Hodnotiť:

Re: 1.2ml Od reg.: matuli | Pridané: 12.12.2019 9:49 Problem je ze oni daju IT specialistovi 2000 v hrubom ale v skutocnosti ziadny specialista neexistuje. Vsak toto je taka chyba, ze na to ani nepotrebujes odborneho testera, proste skusit registraciu v 3 bezne pouzivanych prehliadacoch, mohlo napadnut hociakeho manazera a mohol to spravit hocikto kto by tam trosku rozmyslal. Proste idioti. Odpovedať Známka: 8.7 Hodnotiť:

Re: 1.2ml Od: grepfruit | Pridané: 12.12.2019 9:57 zial, presne ako pises, na plate nezalezi - skutocnych specialistov malo. Aj na vysokych poziciach sa clovek castokrat potyka s tym, ze ti cowboy-i vlastne ani netusia co (nielen ich vlastne) systemy robia. Hlavne ze vsetci maju plne CV-cka buzzword-ov (idealne toho co je "v kurze" :D). Odpovedať Známka: 5.0 Hodnotiť:

Re: 1.2ml Od: ja. | Pridané: 13.12.2019 11:31 Specialistov je malo, pretoze nikto za tu almuznu robit nebude. Ozvlast ked vidi, ake peniaze sa na tych projektoch rozdeluju vyssie. Odpovedať Známka: 5.0 Hodnotiť:

Re: 1.2ml Od: sandisxxx | Pridané: 13.12.2019 9:44 Nie, oficialny plat specialistu je 8000 Eur, no v reale dostane tych 1000. Odpovedať Známka: 6.7 Hodnotiť:

Hacker Od: MaN144 | Pridané: 11.12.2019 20:31 Veď tvrdili, že od 12:00 - 20:00 je internet bezpečnejší, tak akí hackeri? Či im zase vykúpili tie internety? Odpovedať Známka: 9.0 Hodnotiť:

ultraradikalny empaticizmus Od: syntaxterrorX XXX. | Pridané: 12.12.2019 3:53 Presne tak! Keby v DVB-T namiesto kdejakych HD vysielali antivirusovy program, hackeri by priekazne nemali sancu! Odpovedať Známka: 1.5 Hodnotiť:

SVK klasika Od reg.: Y x u s | Pridané: 11.12.2019 20:37 Dalsi uz z miliona prikladov - toto je klasicke Slovensko pod vedenim tejto vlady... ani nechcem vediet, kolko to stalo... su tu tisice vybornych programatorov, len skoda, ze nikto z nich nie je “nas clovek” Odpovedať Známka: 6.0 Hodnotiť:

Re: SVK klasika Od: In2desire | Pridané: 12.12.2019 8:05 .. To co píšu je blbost a hlupa Lož.. Ta stranka a ten formulár nesiel od prvej minuty.. A to som sa skušal 3 browser.. Ak sa prihlasila už ludi za 1.2 milióna.. Otázka znie odkial a ako... Čista zlodejina pre našich ludi.. Aspon ich uvidíme... Odpovedať Známka: 7.0 Hodnotiť:

Re: SVK klasika Od: citajtepozorne | Pridané: 12.12.2019 9:46 no ved ako pisu v clanku. Zapol som si chrome s vypnutym cors. Ale aj to som sa dozvedel vdaka komentaru pod live clankom mojelektromobil.sk - takze nebyt dobrej duse niesom v prvej vlne ... Odpovedať Známka: 5.0 Hodnotiť:

Re: SVK klasika Od: veles | Pridané: 12.12.2019 10:54 no jo a vies si predstavit jednotlivca ako vyhra verejne obstaravanie na taketo nieco? Odpovedať Známka: 5.0 Hodnotiť:

ultraradikalny empaticizmus Od: syntaxterrorX XXX. | Pridané: 12.12.2019 11:05 Presne tak. Predstava jednotlivca, ako spojazdňuje stránku, na ktorej sa dá nielen registrovať, ale ešte aj odosielať formulár je vyložene priekazne absurdná. Odpovedať Známka: 1.1 Hodnotiť:

Spoluobčania Od: Buržuj/ | Pridané: 11.12.2019 20:58 Ako keď retardovaný talár hovoril, že mu poznámky k tlačovke s uchylakom Mafiánom ukradol Esset. Odpovedať Známka: 3.8 Hodnotiť:

Re: Spoluobčania Od: Buržuj/ | Pridané: 11.12.2019 20:58 *Magiánom Odpovedať Známka: 2.2 Hodnotiť:

formular Od: dfvdfbfgn | Pridané: 11.12.2019 22:00 To nebola chyba, to bol zamer. Na 99% Odpovedať Známka: 7.3 Hodnotiť:

Re: formular Od: niekolko otazok | Pridané: 12.12.2019 7:06 to akože im nestačí, že sa zhovadzujú neúmyselne ale chcú sa zhovadzovať ešte aj úmyselne? Odpovedať Známka: 3.3 Hodnotiť:

ultraradikalny optimalizatorizmus Od: syntaxterrorX XXX. | Pridané: 12.12.2019 7:58 Zrejme ide o prejav vrcholného zúfalstva, aby to od nich už priekazne konečne niekto prebral. Odpovedať Známka: 1.4 Hodnotiť:

Re: formular Od: In2desire | Pridané: 12.12.2019 8:01 8000 dotacia.. Dalsich 8000 DPH a odposodpisanie auta do dvoch rokov.. Ako podnikatel.. No neber to... Určite už majú zoznam plny.. Našich ludi.. Odpovedať Známka: 8.3 Hodnotiť:

Re: formular Od reg.: podolsky | Pridané: 13.12.2019 19:19 Myslím, že nevieme celú pravdu. Ja mám 72 rokov a na mojom W10 Pro 0919 a aktualizovanom "panenskom" Chrome som sa zaregistroval s časom 12:06. Ja som doteraz nevedel, že nejaký CORS existuje a nie ho ešte deaktivovať. Bolo to bez problému, len do cca 12:03 bol server preťažený a nemohol som sa dostať na stránku. Nevylučujem nejaké zásahy počas rozbehnutej registrácie a "majstri" niečo zbabrali. Odpovedať Známka: 3.3 Hodnotiť:

ZLODEJI DO BASY!!! Od: WhiteRose | Pridané: 11.12.2019 22:01 Pekny clanok! Nenechame to len tak! Ale co je "stat"? Definoval by som to blizsie! Stat urcite niesu nejake hyeny z vlady! A hlavne zo ZDERU alebo SNS! STAT sme my, nie nejaki kokoti zlodejski!!! Odpovedať Známka: 4.4 Hodnotiť:

ultraradikalny empaticizmus Od: syntaxterrorX XXX. | Pridané: 12.12.2019 9:07 Presne tak! Euro tricať vo vačku, štrnásť pädesiat na sporiacom účte, ale vzplanúť spravodlivým rozhorčením, že nejde, aby štát k dvacaťpäť litrom ešte zopár prihodil... to priekazne nekúpiš! Odpovedať Známka: -1.1 Hodnotiť:

ako inak Od reg.: Serverus Snake (R) | Pridané: 11.12.2019 23:46 Soros CIA Iluminati blablabla A pritom su to len ZLODEJI ZO SMERU. Dotacia vopred rozobrata. Cena auta do 50tis neni nahoda, ked na DPH clovek zaplati potom nazad vyse 8tis€ :P Odpovedať Známka: 2.6 Hodnotiť:

Re: ako inak Od: citajtepozorne | Pridané: 12.12.2019 9:47 sice to pokazili, ale aspon neklamte. Je tam este 3.9 miliona eur. Odpovedať Známka: 0.0 Hodnotiť:

Re: ako inak Od: CPT.obvijus | Pridané: 3.2.2020 21:36 radicovej vlada Odpovedať Hodnotiť:

niekolko otazok Od: niekolko otazok | Pridané: 12.12.2019 7:03 1. kto čakal niečo iné? 2. ako sa môžu vyhovárať na hackerov, keďže kvôli bezpečnosti bol formulár dostupný od 12:00 do 20:00? mal byť skutočne bezpečný? 3. "z externého prostredia" - to akože z intranetu by to nepadlo? Odpovedať Známka: 6.9 Hodnotiť:

Re: niekolko otazok Od: Lív kulťurbľog mlem mlem | Pridané: 12.12.2019 8:57 Hlavné, že máme svoj chliev. Sme pyšní na to ako sme zabíjali, akí sme alkáči, aké máme skvelé deti ,prijebanē po nás, že. Odpovedať Známka: 5.0 Hodnotiť:

Southpark Od reg.: xavantes | Pridané: 12.12.2019 7:41 občania:"Pán minister, nefunguje tá stránka" tajomník:"Júúú, vufouni!... teda... háčkeri... sonoš.. nie nie, jak sa to.. ten, soroš! Áno áno, to je ono, to tam napíšte, ľudia aj tak nevedia ako fungujú tí internety" Odpovedať Známka: -1.7 Hodnotiť:

........ Od: zxcvbn | Pridané: 12.12.2019 8:27 Chudak programator, co to robil. Urcite sa to snazil v hodine dvanastej opravit, ale furt mu neslo vycentrovat. Odpovedať Známka: 8.8 Hodnotiť:

Urcite to bol... Od: Tom4s | Pridané: 12.12.2019 8:32 ESET, ZASA TEN ESET, SABOTUJU VSETKO V TOMTO STATE!!!! Odpovedať Známka: 3.3 Hodnotiť:

Hahaha Od: Davidek12345 | Pridané: 12.12.2019 8:49 Bolo by divne ked by to fungovalo, nechapem co sa rozculujete na Slovensku je to takto presne podla osnovy spravne. Odpovedať Známka: 6.7 Hodnotiť:

Re: Urcite to bol... Od: Strašne umelo vyzerajúce kozy | Pridané: 12.12.2019 8:52 Aj masovo sériový vrah vie, že ale Truban fetuje. To on! Odpovedať Známka: 2.0 Hodnotiť:

Mám rád hnusne umelé kozy Od: Strašne umelo vyzerajúce kozy | Pridané: 12.12.2019 8:48 Po tomto nevoľte Fica, že. Odpovedať Známka: 3.3 Hodnotiť:

planovanie je prvorade Od: ujo tomas | Pridané: 12.12.2019 9:09 Keby sme sa spojili a uz len na kryptovaci jazyk by sme pouzili syntaxterrorX XXX.-ove vety a este nasledne "zakryptovali" Joskom, tak by to ani Boh nehackol. Pjetro de by bol tlacovy hovorca, ten by permanentne vsetkych posielal dopice.sk s ich Intelami a my ostatni by sme sa pustpili do normalnej rozumnej aplikacii. Treba problem rozobrat do mensich dielov a tie sa lahsie riesia. Odpovedať Známka: 3.3 Hodnotiť:

Esett Od: Asdf3 | Pridané: 12.12.2019 9:15 Keby namiesto nadavania na ten Eset ho radsej prizvali. Mozno by pomohol aj len za reklamu. Mozno by dopadli inak. Lebo naco prizvat niekoho kto sa IT rozumie ked na neho mozeme aj nadavat. Odpovedať Známka: 4.3 Hodnotiť:

gramarnazi Od reg.: matuli | Pridané: 12.12.2019 9:37 btw "hláška" je po česky, po slovensky to je správa Odpovedať Známka: 7.5 Hodnotiť:

Nie štát Od: wwwwwwwwww | Pridané: 12.12.2019 9:45 Nie štát, ale konkrétne ministerstvo... Odpovedať Známka: 7.1 Hodnotiť:

ultraradikalny fakticizmus Od: syntaxterrorX XXX. | Pridané: 12.12.2019 10:11 Nie konkrétne ministerstvo, ale konkrétna vláda ako ústavne priekazne kolektívny orgán.... Odpovedať Známka: 2.0 Hodnotiť:

Čaputová nevie čítať ... Od reg.: Uhlik | Pridané: 12.12.2019 10:08 V zákone sa nerozlišuje typ príjmu žiadateľa, avšak formuláre sú podľa príjmu rozdelené a tak sa stalo, že fyzická osoba s príjmom zo živnosti prakticky nemôže o dotáciu žiadať, aj keď má na ňu zo zákona nárok. Toto nedopadne dobre, ani keď ten formulár opravia. Odpovedať Známka: 5.0 Hodnotiť:

Re: Čaputová nevie čítať ... Od: xxx666 | Pridané: 12.12.2019 10:29 Je to tam, len je to schovane pod podnikatelom. Odpovedať Známka: 3.3 Hodnotiť:

Re: Čaputová nevie čítať ... Od: Asdf3 | Pridané: 12.12.2019 10:36 Co to ma s Caputovou? :D Odpovedať Známka: 2.0 Hodnotiť:

Titulok príspevku musí mať dĺžku aspoň 5 znakov. Od: xxx666 | Pridané: 12.12.2019 10:24 Vsak testovane to bolo jednoducho. Zapli si windows XP s IE6 a tam to islo, tak to vyhlasili za funkcne. To, ze sa bezpecnostne standardy za tych poslednych 20 rokov zmenili predsa nemohli vediet. Odpovedať Známka: 8.0 Hodnotiť:

Re: Titulok príspevku musí mať dĺžku aspoň 5 znakov. Od: xxxyyy | Pridané: 12.12.2019 12:03 Neslo to ani tak, pytalo to meno a heslo na server ui42. :-( Odpovedať Známka: 6.7 Hodnotiť:

Re: Titulok príspevku musí mať dĺžku aspoň 5 znakov. Od reg.: John D. Bill | Pridané: 13.12.2019 9:44 testovali to na prehliadaci Arachne 1.70 pod MSDOS 6.22 Odpovedať Známka: 10.0 Hodnotiť:

Retardi Od: Hati | Pridané: 12.12.2019 11:47 Vážení žiadatelia, Z technických dôvodov bude registrácia spustená 16.12.2019 o 12:00. Naša štátna správa je jedna veľká chránená dielňa. Odpovedať Známka: 10.0 Hodnotiť:

titulok Od: pppppppppppppp | Pridané: 12.12.2019 12:51 Otazke je ci viac penazi slo na system alebo pojde na tie dotacie. Odpovedať Známka: 10.0 Hodnotiť:

Pridať komentár