Petek, 7. 1. 2022, 17.45
2 leti, 10 mesecev
Na ministrstvu pozvali k začasnemu umiku testne aplikacije UeNaročanje
Ministrstvo za javno upravo je izvajalca storitve UeNaročanje pozvalo, naj ta sistem spletnega naročanja začasno umakne iz testne uporabe. Zaznali so namreč možna varnostna tveganja. Podjetje Ortus kot izvajalec bo glede na njihov poziv v najkrajšem možnem času preveril in odpravil morebitne pomanjkljivosti, so navedli na ministrstvu.
Testno storitev UeNaročanje, ki združuje sistem spletnega naročanja in storitve klicnega centra za upravne enote, so javnosti sicer predstavili v četrtek. Storitev omogoča strankam izbiro termina preko klicnega centra in tudi spletne aplikacije, sistem pa bo sprva mogoče uporabiti zgolj za upravne enote v Ljubljani, Logatcu in Litiji, so povedali na predstavitvi.
👉Sistem UeNaročanje omogoča, da stranka preko spleta izbere želen termin in storitev na UE, ob tem pa ima na voljo tudi klicni center, kjer ji lahko pomaga svetovalec. Stik z upravno enoto pa lahko vzpostavi tudi z elektronskim sporočilom.✅ pic.twitter.com/UdCS814FQX
— Boštjan Koritnik (@BostjanKoritnik) January 6, 2022
Pristojne službe so pozvali, da težave nemudoma odpravijo
Na ministrstvu poudarjajo, da predmet javnega naročila, ki so ga izvedli za upravne enote, ni bila konkretna aplikacija, ampak izvajanje celovite storitve naročanja slovenskih in tujih državljanov na storitve upravnih enot. Ministrstvo ni lastnik aplikacije, za njeno uporabo ne plačuje nikakršne licenčnine, aplikacija pa ne gostuje na državni infrastrukturi.
Minister za javno upravo Boštjan Koritnik je pristojnim službam takoj naložil, da odpravijo težave pri delovanju sistema in preučijo pravne posledice nastale škode.
Ministrstvo se uporabnikom elektronskih storitev opravičuje za nastalo neprijetnost, so še zapisali.
Po mnenju ministrstva gre za malomarnost programerjev
Aplikacija je očitno ranljiva na vrivanje SQL stavkov, kar je ena od najbolj pogostih ranljivosti spletnih aplikacij, so medtem objavili na spletni strani slo-tech.com. Kadar je spletna aplikacija ranljiva na vrivanje SQL stavkov, gre po njihovih navedbah za neupoštevanje minimalnih dobrih praks na področju programiranja in za veliko malomarnost programerjev.
Zaradi malomarnega programiranja v primeru aplikacije za naročanje na termin pri upravni enoti lahko, denimo, kdorkoli pogleda, kdo se je prijavil na termin, lahko izbriše termin ali ga spremeni, so pojasnili.
1