Nëse në Google kërkoni informacion që ka të bëjë me uebfaqen zyrtare të Qeverisë së Republikës së Maqedonisë së Veriut – vlada.mk – do të vini re se Vlada.mk shfaqen linqe për Air Jordan, Nike, Yeezy, Adidas, Asics dhe marka të tjera sportive. Në shikim të parë dikush mund të mendojë se Qeveria po ndërmerr hapa proaktivë për t’u përballur me krizën ekonomike dhe energjetike dhe në këtë mënyrë po kursen disa denarë nga stërshitja dhe linqeve affiliate, por realiteti i hidhur është se infrastruktura e IT-së e Qeverisë së Maqedonisë po përjeton një tjetër debakël nga aspekti i sigurisë së IT-së, për të cilin, me shumë gjasa, si në të gjitha rastet e mëparshme, nuk do të merret asnjë përgjegjësi dhe do të zbatohet standardi “çdo mrekulli zgjat tre ditë”, shkruan It.mk, njofton Portalb.mk.
Kryesisht modele sportive, por mund të gjeni edhe ndonjë klasik
Me një kërkim pak më konkret në Google mund të vihet re se uebfaqja vlada.mk ka mbi 2.090.000 rezultate lidhur me fjalën “shoe”:
Faqet dhe linqet që përfituan nga lëshimet e vlada.mk dhe infrastrukturës së saj kanë bërë një punë të shkëlqyer në temën SEO dhe kanë edhe indeksim të mirë të fotove, kështu që nëse jeni më të dhënë pas kërkimeve vizuale ju mund të blini atlete të reja duke i parë produktet përmes Google Image Search – Vlada.mk kryesisht “stërshet” modele sportive, por ka edhe ndonjë klasik:
Por, kjo nuk është e gjitha!
Në Top Shop Fazon vlada.mk nuk “stërshet“ vetëm atlete dhe këpucë, uebfaqja vlada.mk ka indeksuar edhe mbi 1.590.000 rezultate për çanta dhe aksesorë për udhëtim:
Mund të gjenden edhe mbi 1.610.000 rezultate për dresa:
Për çfarë bëhet fjalë në të vërtetë?
Bëhet fjalë për një lëshim serioz të sigurisë së IT-së, domethënë, ka dy skenarë të mundshëm për këtë lloj hakimi të uebfaqeve, të cilat më shpesh automatizohen me skripte dhe shërbejnë për të ndërtuar reputacionin e të ashtuquajturave backlinks të uebfaqeve që merren me e-tregti, stërshitje dhe affiliate.
I pari është se këto janë linqe SPAM në të shumtën e rasteve të gjeneruara përmes përdorimit të sistemit intern të kërkimit të uebfaqeve, ku gjatë shkrimit të një fjalë kyçe ose term vetë kërkuesi intern i uebfaqes ndërton edhe një faqe me një URL për linkun e dhënë.
Skenari i dytë është se dikush në një farë mënyre ka fituar qasje në serverat ku ndodhet uebfaqja vlada.mk dhe ka krijuar instanca të uebfaqeve për e-tregti të mbushura me një mori produktesh që më pas lidhen me uebfaqe të tjera.
Kontrollet tona të jashtme të situatës anojnë më shumë kah skenari i dytë, për këto arsye:
1. SERPs të çojnë deri tek linqet e tregtarit
Produktet në Google janë listuar me URL-të e tyre, ndërsa ajo që është e përbashkët për numrin më të madh të tyre është se ato janë në nëndirektoriume, për shembull – vini re “adecdlshop” dhe “abedchxshop”:
URL-të konkrete për rezultatet më sipër janë:
2. Numri më i madh i linqeve të lidhin drejtpërdrejt me një palë të tretë
Pothuajse çdo link nga rezultatet e kërkimit në këtë temë na ridrejtonte në faqen febsport.com/* – e cila në kohën e vizitës sonë po shfaqte status nga cPanel ku thuhej se uebfaqja ishte pezulluar. Zakonisht në skenarin e parë kur ka linqe SPAM të gjeneruara nga një sistem intern i kërkimit, rezultatet çojnë direkt në faqen kryesore dhe opsionin e kërkimit, ose në faqen me fjalën kyçe, ndërsa në këtë rast rezultatet të çojnë në një uebfaqe të tretë.
3. Google ka indeksuar një uebfaqe të tërë në nëndomenet
Gjëja e mirë në lidhje me rezultatet e Google është se pasi një link të indeksohet, nëse i njëjti e ndryshon përmbajtje ose fshihet, Google ruan një version të tij. Kontrollimi i versionit të ruajtur të linkut të mësipërm e zbulon këtë uebfaqe, e cila me duket tani është fshirë:
Por, nëse e vizitoni drejtpërdrejt URL-në: https://vlada.mk/adecdlshop/ në ekran do ju shfaqet se faqja nuk mund të gjendet – që tregon se dikush ka bërë një pastrim të serverëve:
Për ta konfirmuar me siguri se për çfarë bëhet fjalë, duhet të bëhet një hetim dhe verifikim i detajuar, ndërsa kjo më sipër duhet parë si një supozim i bazuar. 🙂
Problemi është serioz!
Një problem të ngjashëm pati edhe uebfaqja më e njohur dhe më kontroverse qeveritare uslugi.gov.mk, kur lidhej me një faqe tajlandeze të e-tregtisë, si dhe ednevnik.edu.mk, e cila tani është e detyrueshme në çdo shkollë. Për problemin e vogël te uslugi.gov.mk, i cili praktikisht të lidhte me një faqe të hakuar, u deshën vetëm 28 ditë për ta hequr, por duke marrë parasysh faktin se faqja ishte pa SSL për më shumë ditë, mund të mos ketë qenë edhe aq keq…
Filozofia e “rënies së sistemit“ dhe mbulimi dhe rregullimi i fshehtë i gjërave të tilla duhet të hiqet plotësisht, sidomos kur bëhet fjalë për infrastrukturën qeveritare dhe kur rrezikohen të dhënat e të gjithë qytetarëve. Kishte optimizëm se pas debaklit me KShZ-në dhe hakimet që ndodhën rreth zgjedhjeve parlamentare të vitit 2020, administrata do ta merrte pak më seriozisht sigurimin e infrastrukturës së IT-së, por duket qartë që nuk është kështu.
Pse hakimi i uebfaqes së Qeverisë është një problem serioz?
Në rastin e harkimit aktual të uebfaqes qeveritare (e cila ende ka edhe një version të pasigurt: http://vlada.mk e cila na drejton deri te https://) që tani është një uebfaqe për shitjen e pajisjeve sportive, por çfarë do të ndodhte nëse dikush vendoste që të bënte një manipulim më të avancuar me qasjen që e kishte fituar dhe në vend të veshjeve sportive në domenin qeveritar vlada.mk, të themi, të ndajë një kumtesë se vaji do të kushtojë 1.000 denarë, ose se gjithë vitin nuk do ketë miell… mundemi vetëm të supozojmë se çfarë paniku do të shkaktohet tek popullata e cila rregullisht merr pjesë në lojëra të rreme në Facebook dhe ka një edukim të dobët digjital.
Tashmë ekziston edhe një shembull ku uebfaqja e Qeverisë është përdorur për të përcjellë një lajm rreth sipërmarrësve që kanë mbledhur 6 milionë dollarë investime, por në një fushë që përfshin edhe stërshitjen – atlete:
Të themi se ka ardhur koha që çështjet që kanë të bëjnë me sigurinë e IT-së të merren me seriozitet është një gabim. Është tepër vonë. Jemi shumë vonë në këtë temë, ndërkohë që shumë boshllëqe mbeten ende të hapura. Nëse dikush nuk i përvesh mëngët e nuk fillon të punojë në temën e sigurisë së IT-së me fokus në infrastrukturën qeveritare dhe nuk i qaset temës më seriozisht duke investuar në burime serioze, nuk do të kemi një problem të madh, do të kemi probleme shumë të mëdha.
Btw, Me sa duket, edhe Komuna e Gazi Babës është partnere në stërshitjen e Vlada.mk.
Nëse gjeni të tjerë, na tregoni dhe ne do ta plotësojmë listën e rrjetit të partnerëve qeveritarë.