Anonymous napadel Novo24TV

Slovenski del hekerske skupine Anonymous je danes zjutraj na svojem Twitter računu objavil povezavo do datoteke s 3,6 GB zaupnih podatkov s strežnika spletnega časopisa Nova24TV (znani kot “prvi v službi resnice”). Kot kaže, so člani skupine uspeli vdreti v njihov strežnik ter si skopirati celotno podatkovno bazo oz. so se na kakšen drug način prikopali do kopije omenjene baze.

S tem so odtujili podatke o vseh registriranih uporabnikih spletnega časopisa: njihove e-poštne naslove, IP naslove, imena, vzdevke, čase prijave, ipd. Z objavo teh podatkov so tako v bistvu razkrili identiteto številnih uporabnikov tega spletnega medija.

Kot kaže hitri pregled vsebine baze, se v njej nahajajo tudi gesla, vendar v šifrirani obliki (oz. v obliki tim. kontrolnih vsot), zato njihova neposredna zloraba ni mogoča.

Anonymous ne skriva, da je bil njihov namen škodovati desnici, saj jo v tvitu opisujejo kot “faš… kriminalce”, ki jih je treba ustaviti pri njihovem cilju “uničenja svobode in demokracije”. Dodajajo pa še, da je omenjena kopija baze samo začetek, saj naj bi posedovali še več kot 100 GB občutljivega materiala s strežnika.

O incidentu smo že povprašali Informacijsko pooblaščenko, ki pa nam je do zaključka redakcije potrdila zgolj, da s primerom še niso bili seznanjeni.

Navedeno je precej zaskrbljujoče, saj kaže, da se je do morebitnega vdora prišlo že pred več kot pol leta, glede na to, da med razkritimi podatki ni nobenih, ki bi bili mlajši od letošnjega januarja. Poleg tega je iz kopije podatkov razvidno, da je bila izvedena konec januarja letos (Dump completed on 2020-01-30 6:01:00).

Ob tem se zastavlja vprašanje, ali so na Nova24TV morda že takrat zaznali incident ter, ali so o tem obvestili Informacijskega pooblaščenca in prizadete posameznike, kot bi v skladu z GDPR v tako resnem primeru po vsej verjetnosti morali storiti? Vprašanje je tudi, ali ima Anonymous morda že več kot pol leta dostop do strežnika, Nova24TV, pa administratorji strežnika tega sploh še niso opazili? Obstaja pa tudi možnost, da se je kopija baze samodejno delala na kakšen slabo zavarovan ali pa celo kar javno dostopen arhivski strežnik, kjer so Anonymousi po naključju naleteli nanjo… Na to konec koncev nakazuje tudi zadnja vrstica v kopiji baze, iz katere je razvidno, da je bil izpis baze opravljen ob 6:01:00. To bo torej še treba razčistiti.

Pooblaščenko zdaj vsekakor čaka zelo naporen vikend. Nujno morajo obiskati sedež spletnega portala in zavarovati vse dokaze o obdelavah osebnih podatkov, da ti ne bi slučajno izginili. Prav tako jih čaka obisk sodišča, da dobijo odredbo za odstranitev objavljene kopije baze s spleta ali pa vsaj omejitev dostopa do nje.

Veliko dela pa kot kaže tudi administratorje Nova24TV. Za začetek lahko za obiskovalce pripravijo pravno obvestilo v skladu s 13. členom GDPR, v katerem bodo navedli kategorije osebnih podatkov, ki jih zbirajo, na kateri pravni podlagi, kakšen je namen njihove obdelave ter kakšen je rok hrambe ter 14. členom GDPR, saj uporabljajo tudi zunanje storitve (disqus). Do sedaj namreč takšnega obvestila na njihovi spletni strani nismo uspeli zaslediti. Zanimivo pa bo videti tudi obvestilo o zlorabi osebnih podatkov (“breach notification”), ki ga prav tako predvideva GDPR.

Članek je bil objavljen tudi na spletni strani Slo-Tech.com.