Objavljeno:

Še več objav računov strank na internetu

Nenamerna objava osebnih podatkov ali zaupnih dokumentov na spletu je očitno kar velik problem, saj je z nekaj naključnega brskanja mogoče najti številne primere slovenskih spletnih trgovin, ki so na spletu omogočile objavo računov svojih strank.

Po objavi članka o dostopnosti računov strank podjetja Proteini.si nas je kontaktiral eden izmed bralcev ter nam posredoval tri naključno najdene povezave z objavljenimi računi z osebnimi podatki kupcev.

Istrski-maraton.si

Na spletni strani Istrski-maraton.si, ki uporablja Wordpress platformo, je bilo v “uploads” mapi mogoče videti PDF predračune kupcev njihovih artiklov:

Mapa spletne strani Istrski-maraton.si je bila široko odprta v splet

Mapa spletne strani Istrski-maraton.si je bila široko odprta v splet.

Primeri predračunov strank, ki so vsebovali osebne podatke:

Primer računa stranke Istrski-maraton.si

Primer računa stranke Istrski-maraton.si

Primer računa stranke Istrski-maraton.si

Primer računa stranke Istrski-maraton.si

Kidstar.si

Tudi spletna stran Kidstar.si uporablja Wordpress platformo, in tudi v tem primeru so bili PDF računi kupcev njihovih artiklov vidni v mapi “uploads”:

Mapa spletne strani Kidstar.si je bila široko odprta v splet

Mapa spletne strani Kidstar.si je bila široko odprta v splet

Mapa spletne strani Kidstar.si je bila široko odprta v splet.

Primeri dobavnic in računov strank:

Primer dobavnice z osebnimi podatki

Primer dobavnice z osebnimi podatki

Primer računa z osebnimi podatki

Beko.si

Podobno stanje smo lahko našli tudi na spletni strani Beko.si, le da je bilo tam na voljo precej več podatkov:

Mapa spletne strani Beko.si je bila široko odprta v splet

Mapa spletne strani Beko.si je bila široko odprta v splet.

Na spletu je bilo mogoče najti račune, izdajnice, dobavnice,..

Osebni podatki v računih na Beko.si

Osebni podatki v računih na Beko.si

Osebni podatki v računih na Beko.si

Osebni podatki v računih na Beko.si

Osebni podatki v računih na Beko.si

Osebni podatki v računih na Beko.si

V nekaterih primerih smo lahko ugotovili pri katerem operaterju ima kupec telefonsko številko...

Osebni podatki v računih na Beko.si

Nekateri računi pa so vsebovali tudi telefonsko številko in e-naslov kupca.

Se nadaljuje…?

Kot rečeno je z nekaj spretnosti pri iskanju mogoče najti še številne druge primere pomotoma javno objavljenih zaupnih podatkov - tako v Sloveniji, kot tudi v svetu.

Do tega prihaja predvsem zato, ker upravljavci spletnih mest del kiberprostora dojemajo kot zasebnega, čeprav je v resnici morda javen. Razmejitev med javnim in zasebnim v kiberprostoru je namreč pogosto odvisna od (zapletene) konfiguracije strežnikov in požarnih zidov, slabo plačani ali neizkušeni izvajalci pa pri tem hitro storijo napako.

Hekerji seveda dobro vedo, da je tako napačno dojemanje kiberprostora, oziroma napake upravljavcev spletnih mest, mogoče s pridom izkoristiti. Tehnike iskanja dokumentov na javnih strežnikih so hekerji pričeli uporabljati že konec 1990-tih let, iskanje zaupnih informacij in dokumentov s pomočjo spletnih iskalnikov (gre za tehniko znano pod imenom Google hacking), pa so varnostni raziskovalci javno predstavili že avgusta 2003.

Vse skupaj pa samo potrjuje dejstvo, da bi morala tako zasebna podjetja, kot tudi javni sektor več sredstev nameniti investicijam v varnost. In to že od faze načrtovanja informacijskih sistemov naprej.

Informacije o varnostnem incidentu smo včeraj posredovali Informacijskemu pooblaščencu, z objavo pa počakali do umika spornih vsebin s spleta.

Kategorije: Informacijska tehnologija, Zasebnost
Ključne besede: varnost