granty unijne

Hackowanie wniosków o grant – czy to możliwe?

W poniedziałek, 24 sierpnia o godz. 9.00 Wielkopolska Agencja Rozwoju Przedsiębiorczości rozpoczęła przyjmowanie wniosków o wsparcie finansowe w ramach programu pomocy przedsiębiorcom. O przyznaniu wsparcia decydowała kolejność zgłoszeń. Już kilka minut po godzinie 9.00 w Internecie rozgorzała burza wywołana falą protestów osób, które punktualnie o godz. 9.00 złożyły wnioski (klikając w wygenerowany wcześniej link) i po kilkudziesięciu sekundach dowiedziały się, że pula 95 mln. zł przeznaczona na pomoc została wyczerpana.

Była afera czy nie?

Oburzeni przedsiębiorcy, których wnioski nie zostały przyjęte żądali wyjaśnień i za nieprawdopodobny uznali fakt, że cała operacja przyznawania dotacji zajęła zaledwie kilkadziesiąt sekund. Przyjrzyjmy się zatem całej sprawie od strony technicznej. Z informacji przekazanych przez WARP wynika, że z ponad 50 tys. złożonych wniosków tylko ok. 3 tys. pierwszych osób załapało się na pulę 95 mln. zł. Pozostali po zakończeniu procesu przyjmowania wniosków otrzymali maila o poniższej treści:

Dziękujemy za udział w projekcie „Wielkopolska Tarcza Antykryzysowa” dla mikro- i małych przedsiębiorców z Wielkopolski.

Informujemy, że wniosek o grant serwer generatora zarejestrował 2020-08-24 09:00:47.531219000.

Informujemy, że dla złożonego wniosku nadano nr ID 54071.
Z uwagi na wyczerpanie dostępnej alokacji środków wniosek nie został przyjęty do weryfikacji.

Z treści tego maila możemy wnioskować, że system rejestrował czas złożenia wniosku co do milionowych, a nawet miliardowych części sekundy. Czy to możliwe, że tak drobne wielkości decydowały o wygranej?

Godzina zero

Większość osób, które w całej sprawie doszukiwały się afery i oszustwa opisywało dokładnie ten sam schemat działania: punktualnie o godzinie 9.00 (według dokładnego internetowego zegara) klikały w link do złożenia wniosku, strona przez kilkadziesiąt sekund się nie ładowała, po czym wyświetlany zostawał komunikat, iż wniosek został odrzucony z powodu wyczerpania puli.

Wyobraźmy sobie co się dzieje, gdy w przeciągu 1 sekundy ponad 50 tys. osób klika w link próbując połączyć się z tym samym serwerem. W praktyce mogło to być kilka sekund, bo pewnie nie wszyscy skorzystali z dokładnego zegara, a co sprytniejsi próbowali być może klikać już sekundę lub dwie przed czasem licząc na to, że zanim serwer odbierze żądanie wybije godzina 9.00. Czy serwer WWW jest w stanie obsłużyć taką ilość połączeń? Oczywiście, że jest. Spójrzmy chociażby na poniższy wykres pokazujący wydajność różnych serwerów www pracujących na kilkuletnim sprzęcie wyposażonym w ośmiordzeniowy procesor:

wydajność serwera www
źródło: rootusers.com

Widzimy, że nawet najmniej wydajny z testowanych serwerów www jest w stanie obsłużyć 60 tys. zapytań, a te bardziej wydajne do 160 tys. zapytań na sekundę. Przetworzenie ruchu na poziomie 53 tys. zapytań na sekundę na nowym sprzęcie w środowisku projektowanym z myślą o obsłużeniu takich sytuacji nie stanowi zatem żadnego problemu.

To o co ten cały szum?

Po fakcie okazało się jednak, że część osób próbujących swojego szczęścia postanowiło posiłkować się różnymi rozwiązaniami automatyzującymi punktualne kliknięcie w link o godz. 9.00. Niektórzy robili to za pomocą własnych skryptów, inni za pomocą dedykowanych serwisów Internetowych, które za drobną opłatą (30-50zł) próbowały „wstrzelić się” w godzinę 9.00. Rozwiązania tego typu popularne były swego czasu wśród osób licytujących się na portalach aukcyjnych typu Allegro. Osobiście myślałem, że odeszły już w niepamięć wraz z modą na licytacje, ale okazuje się, że tam gdzie jest popyt pojawia się i podaż.

Przewaga technologiczna

Co mogły robić dedykowane serwisy i skrypty, czego nie mógł zrobić przedsiębiorca nie będący programistą? Mogły chociażby łączyć się z serwerem WARP-u z wykorzystaniem szybszych łączy. Można przypuszczać, że autorzy tego typu rozwiązań poświęcili trochę czasu na zbadanie w jakiej sieci zlokalizowane są adresy IP, do których prowadził link z wnioskiem. Nawet z użyciem prostego polecenia typu ping jesteśmy w stanie porównać czas połączenia z różnych lokalizacji lub za pośrednictwem różnych łączy. Jesteśmy też w stanie prześledzić trasę takiego połączenia i ustalić przez łącza jakich operatorów się ono odbywa. Jeśli serwer obsługujący wnioski zlokalizowany jest np. u dostawcy usług chmurowych to problemem nie będzie uruchomienie własnego serwera u tego samego dostawcy. A to już diametralnie wpłynie na czas połączenia. Jeżeli łączymy się z Internetem przez WIFI lub sieć GSM to już na starcie będziemy na pozycji przegranej w porównaniu z tymi, którzy korzystają np. z szybkich łączy światłowodowych. Ale nawet oni nie będą mieli szans w porównaniu z serwerem, który „kliknie” link będąc zlokalizowanym w tej samej sieci dostawcy usług chmurowych.

Ponadto założyć można, że autorzy systemów oferujących automatyczne składanie wniosków dysponują już doświadczeniem i wiedzą na temat tego ile sekund przed godziną zero rozpoczyna się wzmożony ruch. Być może nawet automatyczne wysłanie zapytania o godzinie 9:00 nie będzie wystarczające. Może należy wystartować np. o godz. 8:59 i 55 sekund, ponieważ transmisja danych po obciążonym łączu zajmie nieco dłużej niż w normalnych warunkach.

Zatem afera czy niesprawiedliwość?

Raczej to drugie. Niestety w procesie przyznawania dotacji osoby z branż najbardziej poszkodowanych (gastronomia, turystyka, usługi bezpośrednie) nie mają szans z internetowymi geekami, których kryzys dotknął pewnie w najmniejszym stopniu. Rozgoryczenie tych pierwszych jest więc zrozumiałe.

Co można zrobić lepiej?

Trudno jednoznacznie wskazać idealne rozwiązanie. Jeżeli o sukcesie decydować będzie kolejność zgłoszeń to moim zdaniem zawsze niewiele to będzie miało wspólnego ze sprawiedliwością społeczną. Czy pomoc w wysokości ponad 20 tys. zł na jednego pracownika lub osobę prowadzącą jednoosobową działalność jest niezbędna? Może lepiej byłoby przyznać pomoc w wysokości 4 tys zł., a wówczas załapałby się na nią co trzeci wnioskujący. Można też przypuszczać, że część wnioskujących zrezygnowałaby wówczas z podejmowania próby i skorzystałoby więcej osób najbardziej potrzebujących. Dla programisty 4 tys. zł to może być gra niewarta świeczki, a dla fryzjera być lub nie być jego firmy.

One comment

  1. Składając wniosek w kujawsko – pomorskim nie występował taki problem dlatego iż wniosek należało wypełniać po uruchomieniu systemu a nie tak jak w wielkopolsce i innych województwach przygotowany wcześniej. Wiadomo iż również wówczas kto pierwszy ten lepszy jednak standardowy sposób składania wyeliminował cwaniactwo.

Leave a Reply

Twój adres e-mail nie zostanie opublikowany.

Witryna wykorzystuje Akismet, aby ograniczyć spam. Dowiedz się więcej jak przetwarzane są dane komentarzy.