Objavljeno:

AJPES kot nabolj transparentni državni organ javno objavil vse svoje registre

Da slovenski državni organi bistveno premalo, oziroma praktično nič, ne vlagajo v informacijsko varnost, vemo že dolgo časa. To priznavajo tudi strokovnjaki iz državne uprave sami.

Včasih se na dobronamerna opozorila organi (napol) odzovejo šele čez leta, včasih pa tistega, ki jih opozori na lastne napake kar ovadijo (npr. v primeru Ornig). Tako je bilo zgolj vprašanje časa, kdaj bo sledila kakšna večja katastrofa.

In ta se je tokrat pripetila AJPESu. AJPES, ali Agencija RS za javnopravne evidence in storitve, ima namreč na nedavno prenovljeni spletni strani varnostno ranljivost z resnimi posledicami. Gre za ranljivost, kjer je s pomočjo SQL vrivanja iz zalednih podatkovnih baz mogoče pridobiti tudi tiste podatke, ki preko strani sicer niso dosegljivi. Kot kaže, je ranljivih večje število zalednih baz, ki vsebujejo tudi množico osebnih podatkov. Na primer davčne in EMŠO številke vseh lastnikov, zastopnikov (197.286+) in nadzornikov vseh poslovnih subjektov v poslovnem registru in še marsikaj drugega.

Davčna številka znane javne osebe (nahaja se v polju "okrožno sodišče"). Številko smo na željo osebe odstranili.

Davčna številka znane javne osebe (nahaja se v polju “okrožno sodišče”). Številko smo na željo osebe odstranili.

Iz anonimnega obvestila, ki smo ga dobili na portalu Slo-Tech.com – oseba, ki je ranljivost odkrila se ni želela razkriti – izhaja, da je v celoti dosegljivih vsaj 59 podatkovnih baz (nekatere izmed njih so sicer testne, vendar CRP_presek, eObjave, ePodpis, eRtr, eVem_GD, eVem_SP, Rtr, RZIJZ, zPrs3, zRdz, zRtr, zRZPP, … to najverjetneje niso). V te baze sicer nismo vpogledovali, a obvestilo je dovolj verodostojno, da ranljivost lahko potrdimo (sploh glede na priložene zaslonske posnetke). Iz imen baz, ki so dostopne preko napada z SQL vrivanjem, izhaja, da gre za baze poslovnega registra, registra transakcijskih računov, registra prostovoljcev in oseb, ki opravljajo dopolnilno delo, kopije centralnega registra prebivalstva, itd.

AJPES tako s prenovo svojega spletišča postaja precej bolj transparenten, kot je bil v preteklosti. Lansko leto namreč AJPES zaradi skrbi glede varstva osebnih podatkov nekaterim prosilcem po zakonu o dostopu do informacij javnega značaja ni želel posredovati podatkov iz PRS registra, po prenovi pa so čisto vsi osebni podatki iz njihovih registrov dostopni praktično vsakomur z nekoliko več računalniškega znanja.

Šalo na stran, gre za resno varnostno ranljivost s katastrofalnimi posledicami za varstvo osebnih podatkov. Po zagotovilih predstavnice AJPES-a imajo baze, ki so dostopne preko portala samo pravice bralnega dostopa, produkcijske baze pa so ločene in niso dostopne preko spleta.

O napaki smo takoj po obvestilu obvestili predstavnike Informacijskega pooblaščenca ter vzdrževalca spletne strani (predstavniki AJPES-a na državni praznik niso bili dosegljivi). Informacijski pooblaščenec je v zvezi s primerom nemudoma ukrepal (rezultate tovrstnega ukrepanja bomo vsekakor pridobili po ZDIJZ, ko bodo na voljo), izvajalec pa je popravil v obvestilu sporočeno napako na v obvestilu omenjenem mestu. Vsi, ki so hitro ukrepali, si za to vsekakor zaslužijo pohvalo.

Naj še dodamo, da so nam iz AJPES še sporočili, da so “v zadnjem obdobju izvedli več zunanjih varnostnih pregledov vendar nobeden od njih ni odkril tovrstne ranljivosti“, ponoven varnostni pregled pa je bil načrtovan za ta oz. naslednji mesec. Prav tako naj bi na AJPES aktivno spremljali delovanje sistemov in večkrat zaznali poskuse nelegitimnih dostopov do podatkov, uspešnih poskusov pa do sedaj niso zaznali.

Pohvalno je sicer, da se pri AJPES-u bolj kot ostali organi državne uprave zavedajo pomena informacijske varnosti, a očitno varnostni pregledi niso bili dovolj temeljiti. Vse to je po našem mnenju posledica premajhnega zavedanja o pomenu informacijske varnosti pri razvoju aplikacij, kar je tudi stvar izvajalcev oziroma razvijalcev spletnih aplikacij.

Sistematično nevlaganje v informacijsko varnost na vseh nivojih (tudi pri razvijalcih) ima očitno svojo ceno. Današnji dogodek je morda resno opozorilo, da je čas za razmislek kako naprej. Le upamo lahko, da se kopija vseh baz čez nekaj časa ne bo pojavila na kakšnem Wikileaksu, torrentu ali temačni tržnici.

 

Prispevek je bil objavljen na spletnem portalu Slo-Tech.com.

DODATEK (10. februar 2017): davčno številko smo na željo imetnika odstranili.

Kategorije: Informacijska varnost
Ključne besede: Ajpes, SQL vrivanje, vdor v informacijski sistem