Telefoncek.si

VizitkaO Pravokator.siPravno obvestiloPredavanja in knjigeVarnost GSM

Objavljeno: 30. 04. 2019

Spomladansko čiščenje slovenskih Internetov se nadaljuje

Na konferenci Hek.si, ki je potekala konec prejšnjega meseca, smo predstavili nekaj ranljivosti, ki so bile odkrite v začetku tega leta in o katerih smo poročali tudi na tem portalu. Osnovno sporočilo predstavitve je bilo, da je z nekaj malega iskanja oz. tim. “Google hackinga” na slovenskem spletu mogoče najti številne varnostne ranljivosti, zaradi katerih so ogroženi številni osebni podatki. In to kljub temu, da je v lanskem letu okrog GDPR vladala prava histerija, ki so jo pomagale ustvarjati in jo tudi izkoriščale predvsem nekatere odvetniške družbe, ki so seveda dobro služile z urejanjem dokumentacije, pisanjem pravilnikov in pripravo soglasij za obdelavo osebnih podatkov. Podjetja so nato varstvo osebnih podatkov dodobra uredila na papirju, da bi se pravila udejanila v praksi, pa nihče ni kaj dosti razmišljal.

Tokrat tako nadaljujemo s spomladanskim čiščenjem slovenskih Internetov.

Univerza v Mariboru

Kot nas je obvestil eden izmed bralcev portala Slo-Tech.com, je bilo na spletni strani Univerze v Mariboru mogoče najti poročila o praktičnem izobraževanju študentov.

Iskanje poindeksiranih poročil o praktičnem izobraževanju

Iskanje poindeksiranih poročil o praktičnem izobraževanju.

Poročila so vsebovala osebne podatke študentov, poleg imena in priimka študenta ter smeri študija tudi vpisno številko ter kontaktne podatke (e-pošto in telefon):

Primer poročila o praktičnem izobraževanju

Primer poročila o praktičnem izobraževanju.

Primer poročila o praktičnem izobraževanju

Primer poročila o praktičnem izobraževanju.

Informacijo o tem smo sredi marca posredovali Informacijskemu pooblaščencu in na SI-CERT. Kmalu po tem je bil dostop do vsebine onemogočen.

Poslovni podatki na spletu

Kot nas je opozoril bralec portala Slo-Tech.com, je bilo z vpisom številke transakcijskega računa Zavarovalnice Triglav v spletni brskalnik (SI56051008000104170) mogoče najti tudi nekaj zadetkov na spletni strani mesec.org. Gre za spletno stran manjšega slovenskega podjetja.

Na tej spletni strani, oziroma na podstraneh tega strežnika, je bilo mogoče najti različne bančne izpiske tega podjetja za več let. Z vpisom nekoliko drugačnega iskalnega niza je bilo mogoče najti še več izpiskov.

Iskanje poindeksiranih bančnih izpiskov

Iskanje poindeksiranih bančnih izpiskov.

Primer bančnih izpiskov za leto 2018:

Primer bančnih izpiskov za leto 2018

Primer bančnih izpiskov za leto 2018.

Primer izpiska iz leta 2013:

Primer izpiska iz leta 2013

Primer izpiska iz leta 2013.

Primer izpiska iz leta 2017:

Primer izpiska iz leta 2017

Primer izpiska iz leta 2017.

Kot kaže, je lastnik spletišča na spletni strežnik pomotoma (?) odložil nekaj arhivskih datotek. In pri tem pozabil, da bodo preko spleta dostopne vsakomur.

Podoben je tudi primer spletne strani Kuponko.si, kjer je bilo mogoče videti PDF račune strank. Sicer (na prvi pogled) ni bilo videti, da bi omenjeni dokumenti vsebovali kakšne varovane osebne podatke, je pa vsekakor šlo za poslovno dokumentacijo interne narave, ki je bila javno dostopna.

Primer računa:

Primer računa

Primer računa.

Primer računa

Primer računa.

Informacije o obeh najdenih varnostnih incidentih smo posredovali na SI-CERT. Iz SI-CERT-a so nam kasneje sporočili, da so upravljavce spletišč o zadevi obvestili ter da je napaka odpravljena.

Osebni podatki članov društva

Zanimiv je tudi primer Društva psihologov Slovenije, kjer je bil v širni splet odprt imenik za nalaganje datotek na strežnik:

Seznam datotek, ki so jih člani društva posredovali preko spletne strani

Seznam datotek, ki so jih člani društva posredovali preko spletne strani.

Datoteke, ki so jih člani društva posredovali preko spletne strani, so vsebovale številne osebne podatke, v vsaj enem primeru celo podatke o zdravstvenem stanju.

Tako smo lahko preko spletne strani dps.si videli potrdilo o zaključku študija…

Potrdilo o zaključku študija

Potrdilo o zaključku študija...

…naslednji dokument pa je bilo potrdilo Zavoda za zaposlovanje o vpisu iste osebe v evidenco brezposelnih oseb:

Potrdilo o vpisu v evidenco brezposelnih oseb

...in potrdilo o vpisu v evidenco brezposelnih oseb.

Podaljšanje statusa študenta/tke zaradi zdravstvenih razlogov:

Sklep študijske komisije

Sklep študijske komisije.

Potrdila o plačilu članarine (vidni so bili bančni podatki):

Bančni izpisek

Bančni izpisek.

Bančni izpisek

Bančni izpisek.

Bančni izpisek

Bančni izpisek.

Bančni izpisek

Bančni izpisek.

Informacije o obeh najdenih varnostnih incidentih smo sredi marca posredovali na SI-CERT in IP-RS. Iz SI-CERT-a so nam nekaj dni kasneje sporočili, da so jih upravljavci spletišča obvestili, da je napaka odpravljena.

Javno dostopen arhiv spletne strani

Ob pripravi članka smo povsem slučajno naleteli tudi na arhivsko kopijo MySQL baze spletišča IPMIT.si. Kot kaže, so upravljalci spletne strani kopijo baze (tim. MySQL dump) shranjevali kar v javno dostopno mapo /backup.

MySQL dump na IPMIT.si

MySQL dump na IPMIT.si.

Vsebina backup mape na IPMIT.si

Vsebina backup mape na IPMIT.si.

Videti je, so upravljalci strani sami sprevideli napako in mapo že umaknili s spleta, pozabili pa so na to, da je vsebina še vedno delno dostopna v Googlovem predpomnilniku.

Naj omenimo, da se v tovrstnih MySQL arhivskih datotekah navadno nahajajo tudi različni občutljivi podatki (npr. uporabniška imena in gesla za dostop do spletišča), vendar v danem primeru preko Googlovega iskalnika ni (več?) mogoče videti kakšnih koli občutljivih informacij. Vidi se zgolj obstoj mape in arhivskih datotek.

Informacije o obstoju arhiva na IPMIT.si nismo posredovali nikomur, saj je problem očitno že odpravljen oziroma javno niso dostopni nobeni občutljivi podatki.

Kategorije: Informacijska tehnologija, Zasebnost
Ključne besede: varnost