Oddajemy głos Pawłowi X (tak się przedstawia), który wysłał do nas długi list. Warto się z nim zaznajomić:
“Na wstępie – trafiłem na ten artykuł zupełnie przypadkiem, dzięki sugerowanym wiadomościom w Google. Sam zmagam się z problemem zakupu węgla przez eSklep PGG. Jako doświadczony informatyk z 15-letnim stażem, obserwując zachowanie strony podczas „oblężenia” doszedłem do jednego wniosku.
Ktoś z dostępem do bazy danych/aplikacji do zamówień na poziomie administracyjnym wyprowadza węgiel na podstawione osoby. Może to być ktoś z zespołu informatyków, który używa tzw. konta technicznego (niepersonalnego), aby ukryć tym samym swoje działanie.
Na jakiej podstawie wniosek?
1) Zastosowanie systemu CAPTCHA bardzo skutecznie eliminuje boty, uruchamia się on w losowych momentach. Przykładowo, raz mając w koszyku węgiel, przeniosło mnie na CAPTCHA, po czym po wpisaniu kodu, strona przywitała mnie wiadomym komunikatem o zbyt dużej ilości połączeń. I węgla już nie było.
2) Strona tak długo odpowiada, że potrafi się „wywalić” przy próbie wyboru kodu pocztowego.
3) Nie jestem jedyną osobą z takim problemem, jestem niemalże przekonany, że nikt z zewnątrz nie jest w stanie kupić węgla przez stronę.
4) Zmiana lokalizacji (można próbować z łączyć się na stronę z Katowic, Wrocławia, Warszawy etc.) nie ma znaczenia, to nie działa tak, że osoby fizycznie bliżej serwera mają większą szansę.
5) Węgiel znika w oczach, w zasadzie jest dostępny przez około 30-60 sekund. Przetestowane z kilkoma osobami, którym cudem udało się odświeżyć stronę w przeciągu 5 minut. Przykładowo odświeżam stronę, pojawia się węgiel, strona mi przestaje działać. Inna osoba robiąca odświeżenie ~60 sekund później już węgla dostępnego nie widzi.
Zakupy, adresy etc., są wpisywane do bazy danych. Robione to jest najpewniej za pomocą specjalnego konta technicznego, które pośredniczy w tej operacji. Ja, składając zamówienie i będąc zalogowanym, przekazuję temu kontu swoje dane, a ono wpisuje je do bazy danych. Konto to działa lokalnie, na serwerze bazy danych. Podczas gdy zalewany jest serwer WWW ze stroną, baza danych ma priorytet odpowiedzi na tzw. sesje administracyjne.
Administrator bazy danych może kilkoma komendami, przy użyciu tego konta technicznego wykupić cały węgiel na podstawione wcześniej osoby z PESEL-ami. Z punktu widzenia audytu wygląda to jakby faktycznie osoba z zewnątrz kupiła węgiel. Informatyk, używając konta technicznego maskuje, że to nie on, jako pracownik dokonał zakupu. W bazie danych się zgadza, że to Pan/Pani X kupiła węgiel.
Jest to do wykrycia poprzez analizę połączeń i użycia konta technicznego. Osobiście zainteresowałbym prokuraturę i już samo to powinno wystraszyć na jakiś czas osoby biorące udział w procederze.
Mnie w zasadzie od marca i problemów z PGG od początku, że tak powiem przyszło na myśl, że najprościej to dotrzeć do informatyków, dać im w łapę i bez problemu węgiel otrzymać. Generalnie strona tak muli, jak już się do koszyka wrzuci węgiel to potem jest problem z wyborem kodu pocztowego etc. Słowem, nie ma fizycznie możliwości kupienia tego węgla przez stronę.
Jeżeli rzecznik PGG, Pan Tomasz Głogowski Państwa słucha, a widać, że tak, to proszę mu dać znać, że system jest tak szczelny na ile jego twórcy (czyli informatycy) mu pozwolą i niech zacznie zewnętrzny audyt od informatyków. Podkreślam zewnętrzny, bo przy takich pieniądzach korupcja może być szerzej zakrojona i odbywać się za przyzwoleniem szefa działu.
Pozdrawiam serdecznie i liczę na działanie z Państwa strony, przynajmniej na zasugerowanie tego rzecznikowi.”
Co o tym sądzicie? Macie podobne spostrzeżenia?
Zobacz także
Zgłoś naruszenie/Błąd
Pozytywnie
Neutralnie 
Negatywnie
Lubię to!
Super
Ekscytujący 
Ciekawy
Smieszny
Smutny
Wściekły
Przerażony
Szokujący
Wzruszający
Rozczarowany
Zaskoczony
Prawda
Manipulacja
Fake news
Oryginalne źródło ZOBACZ
Dodaj kanał RSS
Musisz być zalogowanym aby zaproponować nowy kanal RSS