Publikuar me 12 Dhjetor 2020 ora 08:43

Profesori universitar zbulon skandalin: Ja se si një person i vetëm mundet të aplikojë për krejt Kosovën në tërheqjen e TRUST-it

Profesori universitar, Blerim Rexha ka reaguar rreth aplikimit online për 10 përqind të Trustit, raporton ballkani.info

Këtë e ka bërë të ditur në një postim në rrjetin social ‘Facebook’.

Sipas tij, aplikacioni që është prezantuar kërkon shumë punë administrative nga zyrtarët e Trustit

‘Por aplikacioni në formën që është prezantuar (https://bentenapp.azureëebsites.net/) kërkon edhe shumë punë administrative (back office) nga zyrtarët e Trustit – sepse ky ueb aplikacion nuk ka autentikim! Një (keq)përdorues ka mundësi të aplikoj për krejt qytetarët e Kosovës. Algoritmi i gjenerimit të numrit personal (modulo 11) nuk është sekret, dhe një aplikacion i thjesht mund të gjeneroj për disa sekonda krejt numrat personal të qytetareve të Kosovës (detyrë klase për studentët ????). Pastaj sulmuesi jep vetëm llogarinë e tij, në formatin e kërkuar, dhe në faqen e dytë disa numrat të telefonit dhe disa email adresa! Një skenario sulmi kibernetik lehtë i implementueshëm me veglën BurpSuite’, ka thënë Rexha.

Po ashtu ai thotë se Trusti do ta ketë të vështirë vërtetimin se kërkesa e parashtruar është legjitime.

‘Trustit tani i mbetet puna më e vështirë – të vërtetoj se kërkesa e parashtruar është legjitime, pra secili qytetarë e ka bërë kërkesën për vete dhe llogaria bankare e dhënë është e parashtruesit të kërkesës. Punë të mbarë!’, u shpreh Rexha. /Ballkani.info/

Postimi i plotë:

Rreth aplikimit online për 10% të TrustitTrusti, dje pasdite hapi ueb aplikacionin (www.trusti10.org), që të iu mundësoj qytetarëve të Kosovës të aplikojnë për 10% e kursimeve të tyre. Që aplikimi të jetë vetëm online, është padyshim një qasje e mirë sidomos tani në kohë pandemie – dhe për të evituar tollovitë eventuale para sporteleve të Trustit.Por aplikacioni në formën që është prezantuar (https://bentenapp.azurewebsites.net/) kërkon edhe shumë punë administrative (back office) nga zyrtarët e Trustit – sepse ky ueb aplikacion nuk ka autentikim! Një (keq)përdorues ka mundësi të aplikoj për krejt qytetarët e Kosovës. Algoritmi i gjenerimit të numrit personal (modulo 11) nuk është sekret, dhe një aplikacion i thjesht mund të gjeneroj për disa sekonda krejt numrat personal të qytetareve të Kosovës (detyrë klase për studentët ). Pastaj sulmuesi jep vetëm llogarinë e tij, në formatin e kërkuar, dhe në faqen e dytë disa numrat të telefonit dhe disa email adresa! Një skenario sulmi kibernetik lehtë i implementueshëm me veglën BurpSuite.Trusti do të ndalte një sulm të tillë, duke aplikuar teknikat e mbrojtjes me reCAPTCHA. Numri i kërkesave paralele do të zvogëlohej, sikur të përdorej edhe ndonjë algoritëm për ndarje p.sh në bazë të shifrës së fundit të numrit personal (çift/tek) apo ndarje edhe në grupe tjera që do ta zvogëlonte kërkesën.Aplikacioni është i thjeshtë për përdorim, dhe vërehet qartazi se zhvilluesit e ueb aplikacionit këtu kanë bërë kompromis në dobi të thjeshtësisë së përdorimit (usability) e për më shumë punë krahasuese në “back end” edhe për më shumë punë (manuale në back office) për zyrtarët e Trustit.Nga aspekti i besueshmërisë (reliability) ueb aplikacionit i mungon edhe nga një email/sms konfirmues, për përmbylljen me sukses të aplikimit.Trustit tani i mbetet puna më e vështirë – të vërtetoj se kërkesa e parashtruar është legjitime, pra secili qytetarë e ka bërë kërkesën për vete dhe llogaria bankare e dhënë është e parashtruesit të kërkesës. Punë të mbarë!