מפלגת זהות יצאה בהכרזה על פריימריז אינטרנטי כלל ארצי לבחירת המועמדים שלה לכנסת. אבל מבדיקה של מערכת eVote בה הם עשו שימוש, עולה ריח חריף של חובבנות. וקרקע פוריה לפריצת המערכת.
1. נרשמתי עם מספר הזהות 88888888
שהוא תקין מבחינת האלגוריתם של חישוב מספר ביקורת, אבל הוא רק בן 8 ספרות. אפילו לא נעשתה בדיקה פשוטה המחייבת 9 ספרות.
2. צילום המסך להלן הוא ממחשב אחר מאשר זה שנרשמתי דרכו. כלומר למעשה הזנתי תעודת זהות של אדם זר, והנה – אני מקבל מהמערכת תגובה המלמדת שאדם זה הצביע במערכת זהות. מערכת מסוג זה אסור לה לחשוף את הנתון הזה – מאחר ויש פה פירצה אפשרית של בדיקת מאגר מספרי זהות כדי לחשוף מי מהם הצביע בפריימריז של זהות.
3. בדיקה אנושית מול צילום תעודה לא שווה מאומה – מאחר מי שמכיר את האלגוריתם של ספרת הביקורת – יכול לייצר מספרי זהות "תקינים" כרצונו. ואז לייצר בהתאם צילומי תעודות זהות בפוטושופ. – ובדיקה אנושית – לא יכולה לעלות על הזיוף ללא אימות מול מרשם האוכלוסין. הנה מספרי זהות "תקינים" לדוגמה: 543700421, 543740021, 543742001.
4. נרשמתי עם כתובת מייל מדומיין לא קיים …we@we.we – וממערכת כזו מצופה לבדוק אם הדומיין קיים ולו בשביל למנוע טעות באיות הכתובת לדוגמה …israel.israeli@gmal.com (חסר תו i בדומיין …gmail.com)
5. הצלחתי לחשוף את פרטי שרת הנתונים, (SQL) כמצ"ב המערכת חושפת את שרת מסד הנתונים, כתובת הIP הפורט, וכן נתונים על מבנה הנתונים. בקיצור כל מה שהאקר קלאסי צריך בשביל להתחיל את העבודה.
