Objavljeno:

Na internetu ponovno najdeni občutljivi osebni podatki

Eden izmed bralcev nas je opozoril, da je na eni izmed spletnih strani Planinske zveze Slovenije dostopno večje število osebnih podatkov.

Spletna aplikacija je sicer na vstopni strani zahtevala prijavo, vendar je bilo zaradi napačnih nastavitev možno dostopati do ene izmed podstrani, kjer je bilo prosto dostopno večje število osebnih podatkov.

Spletna stran je zahtevala prijavo...

Spletna stran je zahtevala prijavo...

Konkretno, šlo je za osebne podatke 383 oseb, med drugim za imena in priimke, datume in kraje rojstva, EMŠO številke, naslove prebivališča in e-naslove…

...vendar ne na URL naslovu, kjer so bili dostopni osebni podatki v JSON obliki

...vendar ne na URL naslovu, kjer so bili dostopni osebni podatki v JSON obliki.

Neprimerna zaščita neposrednega dostopa do URL naslovov je bila leta 2010 razglašena kot ena izmed deset najpogostejših napak spletnih aplikacij iz seznama OWASP Top 10. Kot kaže, je v letu 2020 še vedno precej aktualna.

Rešitev težave je v tem, da razvijalci spletne aplikacije ali sistemski administratorji za vsak URL omejijo dostop samo pooblaščenim uporabnikom oziroma za vsak URL preverijo omejitve dostopa.

Planinsko zvezo Slovenije smo na napako opozorili in po zadnjem preverjanju je napaka sedaj odpravljena, prav tako osebnih podatkov ni mogoče videti preko Googlovega medpomnilnika (Google Cache).

Kategorije: Informacijska varnost
Ključne besede: varnost, osebni podatki, GDPR