Díky chybě v registračním formuláři na očkování proti covid-19 se může registrovat kdokoliv
Společnost si zvykla, že státní zakázky na IT systémy jsou nedotažené a výsledné produkty odpovídají spíše alfa verzi než finálnímu produktu. Stejně tak tomu je v případě zatím posledního systému státní správy – formuláře na registraci k očkování proti covid-19, který umožňuje registraci nejohroženější skupině obyvatel ve věku nad 80 let.
Na chybu v registračním formuláři upozornil webový vývojář Filip Šedivý na svém twitterovém účtu a spolu s upozorněním přidává také videonávod. Díky nalezené chybě se může k očkování registrovat kdokoliv, i když nesplňuje omezení věku.
V CRS se mi podařilo najít chybu, díky které je možné projít registračním formulářem i přesto že rodné číslo odpovídá mému věku tj. 24 let. PIN 2 také přišel. pic.twitter.com/020UJ388VZ
— Filip Šedivý ??♂️? (@filipsedivy) January 15, 2021
Ptáte se, jak je něco takového možné? Jak autor uvádí, ověření zadaných dat probíhá na straně klienta a server, na který jsou data odeslána, je považuje za validní. Server pak neprovádí žádnou další validaci zaslaných údajů, lze tak na něj zaslat prakticky jakákoliv data. Jedná se o naprosto zásadní chybu a náznak toho, že celý formulář byl vytvořen ve velkém časovém presu bez následného odzkoušení a připomínkování. V případě, že se zabýváte vývojem webu, rozhodně je základní podmínkou všechna data ověřovat také na straně serveru.
Registrační formulář pro očkování proti viru covid-19 byl spuštěn pro osoby na 80 let dnes v 8:00 ráno a provázely jej porodní bolesti včele s poddimenzovanou SMS bránou zajišťující odesílání ověřovacích SMS. Všechna volná místa byla během chvíle zabrána.