» »

AJPES kot najbolj transparentni državni organ javno objavil vse svoje registre

AJPES kot najbolj transparentni državni organ javno objavil vse svoje registre

Izdatki povezani z informacijskim sistemom AJPESa (2.066.853 EUR).

Slo-Tech - Da slovenski državni organi bistveno premalo, oziroma praktično nič, ne vlagajo v informacijsko varnost, vemo že dolgo časa. To priznavajo tudi strokovnjaki iz državne uprave sami.

Včasih se na dobronamerna opozorila organi (napol) odzovejo šele čez leta, včasih pa tistega, ki jih opozori na lastne napake kar ovadijo. Tako je bilo zgolj vprašanje časa, kdaj bo sledila kakšna večja katastrofa epskih razsežnosti.

In ta se je tokrat pripetila AJPESu. AJPES, ali Agencija RS za javnopravne evidence in storitve, ima namreč na nedavno prenovljeni spletni strani varnostno ranljivost z resnimi posledicami. Gre za ranljivost, kjer je s pomočjo SQL vrivanja iz zalednih podatkovnih baz mogoče pridobiti tudi tiste podatke, ki preko strani sicer niso dosegljivi. Kot kaže, je ranljivih večje število zalednih baz, ki vsebujejo tudi množico osebnih podatkov. Na primer davčne in EMŠO številke vseh lastnikov, zastopnikov (197.286+) in nadzornikov vseh poslovnih subjektov v poslovnem registru in še marsikaj drugega.



Iz anonimnega obvestila, ki smo ga dobili - oseba, ki je ranljivost odkrila se ni želela razkriti - izhaja, da je v celoti dosegljivih vsaj 59 podatkovnih baz (nekatere izmed njih so sicer testne, vendar CRP_presek, eObjave, ePodpis, eRtr, eVem_GD, eVem_SP, Rtr, RZIJZ, zPrs3, zRdz, zRtr, zRZPP, ... to najverjetneje niso). V te baze sicer nismo vpogledovali, a obvestilo je dovolj verodostojno, da ranljivost lahko potrdimo (sploh glede na priložene zaslonske posnetke). Iz imen baz, ki so dostopne preko napada z SQL vrivanjem, izhaja, da gre za baze poslovnega registra, registra transakcijskih računov, registra prostovoljcev in oseb, ki opravljajo dopolnilno delo, kopije centralnega registra prebivalstva, itd.

AJPES tako s prenovo svojega spletišča postaja precej bolj transparenten, kot je bil v preteklosti. Lansko leto namreč AJPES zaradi skrbi glede varstva osebnih podatkov nekaterim prosilcem po zakonu o dostopu do informacij javnega značaja ni želel posredovati podatkov iz PRS registra, po prenovi pa so čisto vsi osebni podatki iz njihovih registrov dostopni praktično vsakomur z nekoliko več računalniškega znanja.



Šalo na stran, gre za resno varnostno ranljivost s katastrofalnimi posledicami za varstvo osebnih podatkov. Po zagotovilih predstavnice AJPESa imajo baze, ki so dostopne preko portala samo pravice bralnega dostopa, produkcijske baze pa so ločene in niso dostopne preko spleta.

O napaki smo takoj po obvestilu obvestili predstavnike Informacijskega pooblaščenca ter vzdrževalca spletne strani (ostali morebiti zainteresirani naslovniki na državni praznik niso bili dosegljivi). Informacijski pooblaščenec je v zvezi s primerom nemudoma ukrepal (rezultate tovrstnega ukrepanja bomo vsekakor pridobili po ZDIJZ, ko bodo na voljo), izvajalec pa je popravil v obvestilu sporočeno napako na v obvestilu omenjenem mestu.

Naj še dodamo, da so nam iz AJPES še sporočili, da so "v zadnjem obdobju izvedli več zunanjih varnostnih pregledov vendar nobeden od njih ni odkril tovrstne ranljivosti", ponoven varnostni pregled pa je bil načrtovan za ta oz. naslednji mesec. Prav tako naj bi na AJPES aktivno spremljali delovanje sistemov in večkrat zaznali poskuse nelegitimnih dostopov do podatkov, uspešnih poskusov pa do sedaj niso zaznali.

Očitno varnostni pregledi niso bili dovolj temeljiti. Vse to je po našem mnenju posledica premajhnega zavedanja o pomenu informacijske varnosti pri razvoju aplikacij.

Sistematično nevlaganje v informacijsko varnost ima očitno svojo ceno. Današnji dogodek je morda resno opozorilo, da je čas za razmislek kako naprej. Le upamo lahko, da se kopija vseh baz čez nekaj časa ne bo pojavila na kakšnem Wikileaksu, torrentu ali temačni tržnici.



Dopolnitev: Opravičujemo se Gorazdu Božiču (SI-CERT) ter radovedni polovici Slovenije, ker smo bili pri formulaciji zainteresirani naslovniki nejasni in nismo pojasnili, da smo se ukvarjali samo z naslovniki, ki bi bili dolžni ukrepati, ne pa tudi z "zainteresiranimi naslovniki", ki jih zadeva zanima zgolj iz radovednosti (radovedna polovica Slovenije). Naslovnikov, ki nimajo zakonskih pristojnosti in/ali dolžnosti ukrepati, nismo kontaktirali.

Dopolnitev 2: SI-CERT je objavil, da je do nadaljnjega pripravljen prevzeti vlogo koordinatorja za razkrivanje ranljivosti v zvezi z AJPESovo spletno stranjo. Zato vas prosimo, da obvestila o dodatnih napakah v zvezi s to stranjo do nadaljnjega posredujete na naslove omenjene v sporočilu in ne več nam (Slo-Techu).

369 komentarjev

««
«
1 / 8
»»

estons ::

Woooaah. Kopija/presek CRP... Morali bi jim eno tako kazen dat, da bo zelo poučna za vse organizacije... A nova EU direktiva z obvezno objavo security breachev in višjimi kaznimi že velja?

Primoz ::

Ne še. Maja 2018.
There can be no real freedom without the freedom to fail.

sheldon ::

Naj še dodamo, da so nam iz AJPES še sporočili, da so "v zadnjem obdobju izvedli več zunanjih varnostnih pregledov vendar nobeden od njih ni odkril tovrstne ranljivosti", ponoven varnostni pregled pa je bil načrtovan za ta oz. naslednji mesec.


Ne vem, a bi se jokal ali smejal.

Torej je ranljivost že odpravljena?

romegregor ::

sheldon je izjavil:

...Torej je ranljivost že odpravljena?


..preverimo >:D

Primoz ::

Kar se njih tiče da, čepraav je težko verjet ...
There can be no real freedom without the freedom to fail.

estons ::

SQL injection je dobesedno na prvem mestu OWASP Top 10. Se sprašujem, kdo jim je delal varnostni pregled. (Sicer, to bi se verjetno dalo dobit kot podatek javnega značaja?)

zmaugy ::

Čemu sploh ta prisilna baza podatkov služi? Razen tega, da jo morajo objavljeni prisilno financirati, da jih potem konkurenca lahko preučuje.

poweroff ::

Po zatrdilih AJPES-a je ranljivost že odpravljena.

Mogoče je smiselno poudariti, da ni problem samo državna uprava, velik problem so tudi razvijalci aplikacij (slovenska podjetja), ki jim je informacijska varnost deveta briga. Tudi pri njih se kažejo posledice sistematičnega nevlaganja v informacijsko varnost.
sudo poweroff

estons ::

No, Mojdenar IT d.o.o. torej ni najboljša izbira za razvoj varnih aplikacij...

mojca ::

Torej je smotrno pobrskati še po ostalih rešitvah, navedenih v njihovih referencah?

http://www.mojdenar.si/Documents/Refere...

Najbolj ironično je, da delajo informacijske storitve/rešitve za SOVO.

poweroff ::

Ni tista SOVA:
SOVA družba za ekonomske, organizacijske in knjigovodske storitve, d.o.o.
sudo poweroff

Invictus ::

AJPES bi moral te podatke tako ali tako deliti zastonj.

Gre za Agencijo, financirano s strani države, ki jim morajo podatke pod grožnjo kazni zagotavljati pravni subjekti.

Oni pa to še zaračunavajo.
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

jukoz ::

Invictus je izjavil:

AJPES bi moral te podatke tako ali tako deliti zastonj.

Gre za Agencijo, financirano s strani države, ki jim morajo podatke pod grožnjo kazni zagotavljati pravni subjekti.

Oni pa to še zaračunavajo.


Ne, ker zaslužijo vsaj 33% na trgu... Je nek predpis ali zakon ali nekaj ki jim zaračunavanje omogoča =)

GBX ::

Ugovarjati moram proti naslednji izjavi v članku:

O napaki smo takoj po obvestilu obvestili predstavnike Informacijskega pooblaščenca ter vzdrževalca spletne strani (ostali morebiti zainteresirani naslovniki na državni praznik niso bili dosegljivi).


Ne anonimni raziskovalec ne Slo-Tech se nista obrnila na SI-CERT (ki je brez najmanjšega dvoma "zainteresirani naslovnik"). Naša dežurna služba je bila dosegljiva in je spremljala prijave. Obvestilo nam je posredoval šele Informacijski pooblaščenec v skladu s sporazumom o sodelovanju med IP-RS in SI-CERT.

Vesel bi bil tudi, če bi avtor ali uredništvo Slo-Techa lahko konkretiziralo pojem "katastrofa epskih razsežnosti" (moj poudarek). So ogrožena življenja, je prišlo do razlitja radioaktivne snovi, se je potopila naša edina ladja, je incident povod za izredne razmere in Civilno zaščito, ali pa so vsi Emši vseh državljanov že objavljeni na pastebin? Šalim se, seveda! Ampak zgolj zato, da morda malo umirim situacijo. Če so do sedaj znane posledice res "katastrofa epskih razsežnosti" (moj poudarek), prosim za obvestilo o obsegu te katastrofalne škode čimprej na SI-CERT (cert@cert.si), da lahko aktiviramo tudi morebitne druge mehanizme v državi. Če pa gre za SQL vrinjanje, ki je odkrito, ni pa še dokazov, da bi dejansko prišlo do razkritja in odtujitve podatkov s strani neznanih storilcev, bi se mi zdelo prav uporabiti izrazoslovje, za katerim je moč navesti strokovne argumente.

Ahim ::

GBX je izjavil:

Ugovarjati moram proti naslednji izjavi v članku:

O napaki smo takoj po obvestilu obvestili predstavnike Informacijskega pooblaščenca ter vzdrževalca spletne strani (ostali morebiti zainteresirani naslovniki na državni praznik niso bili dosegljivi).


Ne anonimni raziskovalec ne Slo-Tech se nista obrnila na SI-CERT (ki je brez najmanjšega dvoma "zainteresirani naslovnik"). Naša dežurna služba je bila dosegljiva in je spremljala prijave. Obvestilo nam je posredoval šele Informacijski pooblaščenec v skladu s sporazumom o sodelovanju med IP-RS in SI-CERT.

Vesel bi bil tudi, če bi avtor ali uredništvo Slo-Techa lahko konkretiziralo pojem "katastrofa epskih razsežnosti" (moj poudarek). So ogrožena življenja, je prišlo do razlitja radioaktivne snovi, se je potopila naša edina ladja, je incident povod za izredne razmere in Civilno zaščito, ali pa so vsi Emši vseh državljanov že objavljeni na pastebin? Šalim se, seveda! Ampak zgolj zato, da morda malo umirim situacijo. Če so do sedaj znane posledice res "katastrofa epskih razsežnosti" (moj poudarek), prosim za obvestilo o obsegu te katastrofalne škode čimprej na SI-CERT (cert@cert.si), da lahko aktiviramo tudi morebitne druge mehanizme v državi. Če pa gre za SQL vrinjanje, ki je odkrito, ni pa še dokazov, da bi dejansko prišlo do razkritja in odtujitve podatkov s strani neznanih storilcev, bi se mi zdelo prav uporabiti izrazoslovje, za katerim je moč navesti strokovne argumente.


s/katastrofa/fiasko

Bolje?

Skrajni cas je ze, da v JU za svojo nesposobnost golazen odgovarja, od izvajalca, do tistega, ki je podpisal prevzem, in do vrha verige ("objektivna odgovornost").

dronyx ::

poweroff je izjavil:

Mogoče je smiselno poudariti, da ni problem samo državna uprava, velik problem so tudi razvijalci aplikacij (slovenska podjetja), ki jim je informacijska varnost deveta briga. Tudi pri njih se kažejo posledice sistematičnega nevlaganja v informacijsko varnost.

To po moje absolutno drži. Veliko slovanskih razvijalcev aplikacij za državno upravo na razpisih navede kopico strokovnjakov z bogatimi izkušnjami in certifikati, dejansko pa potem za razvoj najamejo študente za par evrov na uro, ki se jim gladko fučka za vse. Samo za slabe rezultate takega dela je na koncu vedno kriv naročnik, ker je takšno rešitev prevzel. Poleg tega pa dostikrat naročnik opravlja za izvajalca tudi povsem osnovna testiranja, ki bi jih moral ta izvesti še preden preda naročniku rešitev. Informacijska varnost pa v tej zgodbi ponavadi ni niti postavka, saj je velik uspeh že to, da karkoli sploh dela...

Zgodovina sprememb…

  • spremenil: dronyx ()

Primoz ::

@GBX: in tudi nikoli ne bomo vedeli (ali je prišlo do odtujitve) saj: "Na AJPES spremljamo delovanje izpostavljenih sistemov in večkrat zaznavamo poskuse nelegitimnih dostopov do podatkov. Do sedaj uspešnih tovrstnih poskusov nismo zaznali."
There can be no real freedom without the freedom to fail.

poweroff ::

Invictus je izjavil:

AJPES bi moral te podatke tako ali tako deliti zastonj.

Tukaj je potreben popravek. Po ZDIJZ lahko te podatke zastonj dobiš od AJPES-a. Z omejitvijo - enkrat na 3 mesece. Če hočeš dnevne dumpe, je pa treba plačati.

Kar se mi zdi osebno čisto prav.

Glede SI-CERT-a se strinjam, SI-CERT ni bil obveščan oz. je bil šele s strani IPRS. Niso se pa javili na AJPESu. SI-CERT je sicer ravnal čisto OK v tej zgodbi.

Glede izraza "katastrofa epskih razsežnosti" - res je morda res nekoliko pretiran. V realnem, fizičnem svetu to ni katastrofa, prej nevšečnost. A v kiber svetu to po mojem mnenju je katastrofa. Primerljiva z Ashley Madison, recimo.

Res je, ni (še) dokazov, da bi dejansko prišlo do razkritja in odtujitve podatkov, upam, da do tega ni prišlo. Ampak povsem izključiti pa se tega tudi ne da. In tudi če podatki nikoli ne bodo objavljeni na pastebin, to še ne pomeni, da jih nekdo zainteresiran morda nima.

Vsekakor je moj poudarek na tem, da je ta dogodek je resno opozorilo, da je čas za razmislek kako naprej. S tem imam v mislih predvsem to, da država varnost informacij postavi višje na prioritetno letvico. Da finančno in kadrovsko okrepi SI-CERT in podobne ustanove. In pa predvsem, da se v okviru univerzitetnega izobraževanja pričnejo aktivneje uvajati vsebine povezane z informacijsko varnostjo. Ker kot rečeno so velik problem tudi izvajalci.
sudo poweroff

PaX_MaN ::

poweroff je izjavil:

Glede SI-CERT-a se strinjam, SI-CERT ni bil obveščan oz. je bil šele s strani IPRS.

Ok, S-T je lažna novica.
Si bomo zapomnili.

Primoz ::

Načeloma, če IP obvesti Božiča ... je SI-CERT obveščen (ali pač).
There can be no real freedom without the freedom to fail.

dexterboy ::

"Na AJPES spremljamo delovanje izpostavljenih sistemov in večkrat zaznavamo poskuse nelegitimnih dostopov do podatkov. Do sedaj uspešnih tovrstnih poskusov nismo zaznali."
ROFL; in jaz v življenju nisem ukradel niti enega čigumija iz trgovine :))
Ko ne gre več, ko se ustavi, RESET Vas spet v ritem spravi.

Machete ::

Ja a si ga? Sry za spam sem od kdaj je kraja čigumijev samoumevna?
LC1000|Asrock-H470PG|i7-10700K|2x16GB|RTX-3080 EAGLE|W10Pro
new Nintendo 2DS & 3DS XL|Galaxy S24+

Invictus ::

poweroff je izjavil:

Invictus je izjavil:

AJPES bi moral te podatke tako ali tako deliti zastonj.

Tukaj je potreben popravek. Po ZDIJZ lahko te podatke zastonj dobiš od AJPES-a. Z omejitvijo - enkrat na 3 mesece. Če hočeš dnevne dumpe, je pa treba plačati.

Kar se mi zdi osebno čisto prav.

Dobro vedeti.

Lahko bi bil nek search engien zastonj, ali omejeno število podatkov na dan. Ker danes pa tega res ni več težko tehnično izvesti, poleg tega je tehnologija dovolj poceni in hitra da za to ni ovir. Tudi če bi šlo za dumpe...
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

GBX ::

Primoz je izjavil:

Načeloma, če IP obvesti Božiča ... je SI-CERT obveščen (ali pač).


:) Izvijanje? Hvala bogu, bili smo. Kasneje, kot bi bili, če bi to storil neposredno S-T ali anonimni raziskovalec. To pomeni, da je morda razreševanje problema trajalo dlje (ni pa vedno nujno tako). Kakorkoli, morda morate tudi na S-T lastne responsible-disclousure procedure dopolniti, da bomo prej "in the loop".

Ampak! To ne spremeni dejstva, da tole: "ostali morebiti zainteresirani naslovniki na državni praznik niso bili dosegljivi" preprosto ni res. To je moj ugovor, ne pa, da informacija sploh ni prišla do nas.

Primoz je izjavil:

@GBX: in tudi nikoli ne bomo vedeli (ali je prišlo do odtujitve) saj: "Na AJPES spremljamo delovanje izpostavljenih sistemov in večkrat zaznavamo poskuse nelegitimnih dostopov do podatkov. Do sedaj uspešnih tovrstnih poskusov nismo zaznali."


Analiza podatkov, ki so na voljo na AJPES bo lahko pokazala, kako je s tem.

Zgodovina sprememb…

  • spremenil: GBX ()

matijadmin ::

@GBX Epske razsežnosti, čeprav se je Matthai nekoliko popravil, se strinjam s tem, kar je zapisal Primoz, da ne vemo, ali je dejansko prislo do katastrofe. Bi pa dodal tole, da glede na trende vdorov in kiberkriminala je skoraj bolj verjetno, da so te podatke odtujili kot pa ne. Vsi vemo, da je skeniranje obmocji stalna praksa. Ranljivost je bila ocitno pa tudi ze stara.
Vrnite nam techno!

GBX ::

matijadmin je izjavil:

@GBX Epske razsežnosti, čeprav se je Matthai nekoliko popravil, se strinjam s tem, kar je zapisal Primoz, da ne vemo, ali je dejansko prislo do katastrofe. Bi pa dodal tole, da glede na trende vdorov in kiberkriminala je skoraj bolj verjetno, da so te podatke odtujili kot pa ne. Vsi vemo, da je skeniranje obmocji stalna praksa. Ranljivost je bila ocitno pa tudi ze stara.


Hja. Stvar stila. Epsko je nekaj, o čemer se bodo pisale pripovedi. No, sigurno bo kakšna prezentacija na hek.si, dvomim pa, da bo epska :D. Pustimo se presenetiti! Pa še bolj pomembno: meni se zdi velika razlika med izjavami "katastrofa se je zgodila" in "ne vemo, ali je prišlo do katastrofe". Morda celo kar epska razlika. :)

dronyx ::

Primoz je izjavil:

@GBX: in tudi nikoli ne bomo vedeli (ali je prišlo do odtujitve) saj: "Na AJPES spremljamo delovanje izpostavljenih sistemov in večkrat zaznavamo poskuse nelegitimnih dostopov do podatkov. Do sedaj uspešnih tovrstnih poskusov nismo zaznali."

Dvomim, da takšno spremljanje zares zazna vse uspešne poskuse "nelegitimnih dostopov". Jaz razumem da se da ugotoviti, če se kdo poskuša prijaviti z napačnimi uporabniškimi imeni, gesli, certifikati itd. Če pa nekdo uspe priti do veljavnih "poverilnic" in s tem odtuji podatke pa tega tak sistem po moje ne ugotovi.

GBX ::

@dronyx: nekaj se iz monitoringa in analize da ugotoviti, česa pa tudi ne. To pa je odvisno od konkretnih okoliščin. Bomo videli.

poweroff ::

Invictus je izjavil:

Lahko bi bil nek search engien zastonj, ali omejeno število podatkov na dan.

Pa saj to obstaja...

Drugače pa govorimo o Centralnem registru prebivalstva. Ta baza ni majhna šala. In to po mojem mnenju je velik problem oz. katastrofa.

Sicer pustimo ob strani zakaj hudiča se na Ajpesu sploh nahaja kopija in zakaj se ne uporablja original na MNZ. Pa zakaj vse skupaj očitno teče na enem samem database strežniku oz. zakaj le-ti niso ločeni. OK, to celo mislim da vem zakaj je tako - uporablja se Oracle, ki pač stane.
sudo poweroff

dronyx ::

poweroff je izjavil:

Drugače pa govorimo o Centralnem registru prebivalstva. Ta baza ni majhna šala. In to po mojem mnenju je velik problem oz. katastrofa.

Pa si prepričan da gre res za pravi CRP in ne samo kakšno testno verzijo z anonimiziranimi podatki? Ker to bi bilo pa res zelo nenavadno, da bi upravljalec CRP prepustil kar celo kopijo produkcijske baze nekomu drugemu.

Invictus ::

poweroff je izjavil:

[
Drugače pa govorimo o Centralnem registru prebivalstva. Ta baza ni majhna šala. In to po mojem mnenju je velik problem oz. katastrofa.

Zakaj je to sploh na AJPESu? A ne obstaja to samo za delo s podjetji?
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

techfreak :) ::

poweroff je izjavil:

Po zatrdilih AJPES-a je ranljivost že odpravljena.
Ce so preko enega API endpointa uspeli izvajati SQL stavke nad 59 podatkovnimi zbirkami bi rekel da imajo precej vecji problem kot pa samo zakrpanje tega endpointa.

estons ::

Invictus je izjavil:

poweroff je izjavil:

[
Drugače pa govorimo o Centralnem registru prebivalstva. Ta baza ni majhna šala. In to po mojem mnenju je velik problem oz. katastrofa.

Zakaj je to sploh na AJPESu? A ne obstaja to samo za delo s podjetji?


Predvidevam, da so uporabljali za naslove lastnikov podjetij, zakonitih zastopnikov ipd. Bi me pa zelo zanimalo koliko je dodatnih informacij, poleg tistih javno objavljenih s strani AJPESa, ta kopija CRP vsebovala.

MrStein ::

GBX je izjavil:

Če pa gre za SQL vrinjanje, ki je odkrito, ni pa še dokazov, da bi dejansko prišlo do razkritja in odtujitve podatkov s strani neznanih storilcev, bi se mi zdelo prav uporabiti izrazoslovje, za katerim je moč navesti strokovne argumente.

Plus naslov v stilu 24 kur...*

SQL vrivanje?
Kako to sploh lahko programer te dni napiše?
S kopi-pejst kode iz w3schools.com ?


* - ok, naslov je za 24ur vseeno preveč sofisticiran
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()

matijadmin ::

GBX je izjavil:

matijadmin je izjavil:

@GBX Epske razsežnosti, čeprav se je Matthai nekoliko popravil, se strinjam s tem, kar je zapisal Primoz, da ne vemo, ali je dejansko prislo do katastrofe. Bi pa dodal tole, da glede na trende vdorov in kiberkriminala je skoraj bolj verjetno, da so te podatke odtujili kot pa ne. Vsi vemo, da je skeniranje obmocji stalna praksa. Ranljivost je bila ocitno pa tudi ze stara.


Hja. Stvar stila. Epsko je nekaj, o čemer se bodo pisale pripovedi. No, sigurno bo kakšna prezentacija na hek.si, dvomim pa, da bo epska :D. Pustimo se presenetiti! Pa še bolj pomembno: meni se zdi velika razlika med izjavami "katastrofa se je zgodila" in "ne vemo, ali je prišlo do katastrofe". Morda celo kar epska razlika. :)

Razlika ni epska, ker poznamo trende kiber kriminala, ki vsepovprek skenira in, ker je ranljivost stara. Za te pa skoraj ni prostora med varnimi hosti in ti bi se najbolj moral poznati koincidence. Priklopi v hisi na dmz en hapejev tiskalnik z malce starejso strojno programsko in vklopi stoparico, upam, da imas dobre reflekse (ce se malo posalim). Da o tujih obvescevalnih sigint operacijah niti ne govorim ... Nase sodstvo je precej kompromitirano (z nekimi obsolate verzijami jave na masinah, na kar opozarjam ze leta), pa tetra je tudi bila ze vec let, ko je nek italijanski raziskovalec Pietrosanti to pred vec leti objavil, davno pred ornigom, pa nihce ni ukrepal ... Super, da so nasi podatki iz CRP tako enostavno na voljo skripnim nagajivcem. Res, nic epskega ... Pozabil sem, v Butalah smo.;((
Vrnite nam techno!

poweroff ::

Kolikor jaz vem, imajo kopijo CRPja tam za potrebe sodišč. Iz nekega razloga so sodišča želela kopijo "pri sebi", ne pa uporabljati tiste na MNZ.

Lahko pa da se motim oz. da da sem dobil napačno informacijo. Bo še kdo drug povedal kako je s tem...
sudo poweroff

matijadmin ::

dronyx je izjavil:

poweroff je izjavil:

Drugače pa govorimo o Centralnem registru prebivalstva. Ta baza ni majhna šala. In to po mojem mnenju je velik problem oz. katastrofa.

Pa si prepričan da gre res za pravi CRP in ne samo kakšno testno verzijo z anonimiziranimi podatki? Ker to bi bilo pa res zelo nenavadno, da bi upravljalec CRP prepustil kar celo kopijo produkcijske baze nekomu drugemu.

Se iz neke ere in predvsem zaradi nerazumevanja informatizacije se je več drzavnih organov v preteklosti odlocilo za lokalno kopijo CRP pri sebi, to so pa pol s tisto od MNZ feedali. Med njimi sta prav gotovo Vrhovno sodišče in Ajpes. To vem s prve roke, ker sem bil v JU zaposlen pred več leti.

Sodisce najpogosteje potrebuje crp za potrebe vrocanja in prived, ajpes pa v sodnih postopkih omogoca sodiscem iskanje delezev po fizicnih ali pravnih osebah (za potrebe sodnih postopkov).
Vrnite nam techno!

Zgodovina sprememb…

vostok_1 ::

Bi lahko kdo še enkrat prosim naštel, kaj vse je bilo v tej bazi?
There will be chutes!
It came from the lab.
Like tears in rain. Time to die. v_1 2012-21

tony1 ::

Off topic: vse pohvale avtorju novice za XKCD strip, še preden sem ga pogledal sem točno vedel, kateri je priliman :))

Še ena:
 Sanitize your DB inputs :)

Sanitize your DB inputs :)

matijadmin ::

vostok_1 je izjavil:

Bi lahko kdo še enkrat prosim naštel, kaj vse je bilo v tej bazi?

Definitivno je najbolj problematičen CRP (centralni register prebivalstva): http://www.mnz.gov.si/si/mnz_za_vas/ose...
Vrnite nam techno!

vostok_1 ::

Very nice...

3-4 leta zaporne kazni za odgovornega na AJPESu, 250k€ kazni za IT podjetje, ki je malomarno ravnalo.

Po vsej vrjetnosti so podatki že na črnem trgu.
To je kr huda kršitev IMO in take zadeve se ne sme dopuščat.
Razumem, če bi zbežala neka baza kakih geodetskih podatkov or something. Ampak tu gre za kar konkretne informacije o človeku.
There will be chutes!
It came from the lab.
Like tears in rain. Time to die. v_1 2012-21

matijadmin ::

vostok_1 je izjavil:

Very nice...

3-4 leta zaporne kazni za odgovornega na AJPESu, 250kEUR kazni za IT podjetje, ki je malomarno ravnalo.

Po vsej vrjetnosti so podatki že na črnem trgu.
To je kr huda kršitev IMO in take zadeve se ne sme dopuščat.
Razumem, če bi zbežala neka baza kakih geodetskih podatkov or something. Ampak tu gre za kar konkretne informacije o človeku.

Ker nimamo pravne države, lahko sodijo kar po precedensu tvojih besed™.
Vrnite nam techno!

Zgodovina sprememb…

jype ::

Končno bodo lahko vsi nehali učiti zaposlene v pomoči uporabnikom, da drdranje niza osebnih podatkov ne more predstavljati izkazane istovetnosti.

vostok_1 ::

matijadmin je izjavil:

vostok_1 je izjavil:

Very nice...

3-4 leta zaporne kazni za odgovornega na AJPESu, 250kEUR kazni za IT podjetje, ki je malomarno ravnalo.

Po vsej vrjetnosti so podatki že na črnem trgu.
To je kr huda kršitev IMO in take zadeve se ne sme dopuščat.
Razumem, če bi zbežala neka baza kakih geodetskih podatkov or something. Ampak tu gre za kar konkretne informacije o človeku.

Ker nimamo pravne države, lahko sodijo kar po precedensu tvojih besed™.


To je moja sodba če bi bil sodnik. Ker pa nisem je to zgolj mnenje.
Prepuščam odločitve pravnemu sistemu. Sicer menim, da se ne bo nič zgodilo, ampak hey...
There will be chutes!
It came from the lab.
Like tears in rain. Time to die. v_1 2012-21

Majkl ::

Torej ce kot drzavljan vprasam AJPES po vpogledih v moje podatke (CRP baza), bi mi morali odgovoriti ;)
Pa tudi revizijska sled po ZVOPu bi morala biti prisotna ;)

Ima kdo obrazec ali formo za zahtevo? Primoz? Matthai?
FMPOV

matijadmin ::

vostok_1 je izjavil:

matijadmin je izjavil:

vostok_1 je izjavil:

Very nice...

3-4 leta zaporne kazni za odgovornega na AJPESu, 250kEUR kazni za IT podjetje, ki je malomarno ravnalo.

Po vsej vrjetnosti so podatki že na črnem trgu.
To je kr huda kršitev IMO in take zadeve se ne sme dopuščat.
Razumem, če bi zbežala neka baza kakih geodetskih podatkov or something. Ampak tu gre za kar konkretne informacije o človeku.

Ker nimamo pravne države, lahko sodijo kar po precedensu tvojih besed™.


To je moja sodba če bi bil sodnik. Ker pa nisem je to zgolj mnenje.
Prepuščam odločitve pravnemu sistemu. Sicer menim, da se ne bo nič zgodilo, ampak hey...

Zelo slab sodnik bi bil in najbrž bi tudi kmalu izgubil službo po negativnem mnenju ob oceni sodniške službe. A si morda že kdaj slišal za zakone? Ali misliš, da sodniki sodijo kar malo na pamet, če pa nimajo navdiha, vržejo kovance?
Vrnite nam techno!

BlaY0 ::

matijadmin je izjavil:


Sodisce najpogosteje potrebuje crp za potrebe vrocanja in prived, ajpes pa v sodnih postopkih omogoca sodiscem iskanje delezev po fizicnih ali pravnih osebah (za potrebe sodnih postopkov).

Zdaj mi je jasno, zakaj sodišča nikoli ne najdejo ljudi, ki bi jim bilo treba nekaj vročiti ali jih privesti... imajo svoj kvazi CRP, ki ga očitno 1x na mesec sinhronizirajo z originalnim MNZ-jevim. Povprečen čas za menjavo prebivališča prek e-uprave je 3 dni... to pomeni, da si ti lahko že 5x (ali večkrat) zamenjal naslov, medtem ko ima sodišče še vedno tvoj prvi naslov...

Zgodovina sprememb…

  • spremenilo: BlaY0 ()

srus ::

Škoda, da nihče ni omenil, da je nov uporabniški vmesnik veliko neprijaznejši od starega. Sicer je fancy, verjetno lepo izgleda tudi na mobilnih napravah, samo njegova osnovna funkcionalnost - iskanje in prikaz podatkov iz različnih podatkovnih bazah - je bolj štorasto izvedena v primerjavi s tisto prej.

Sedaj mi je to, glede na vse zgoraj napisano tudi jasno. Nov fancy, a štorasti vmesnik je samo krinka za neomejeni backdoor dostop.

BlaY0 ::

Za web developerja oziroma developerja danes ja važno da lepo zgleda, za vse ostalo se mu Hebe. Kriv za to je pa jasno tisti, ki podpiše "prevzemnico".

Zgodovina sprememb…

  • spremenilo: BlaY0 ()
««
«
1 / 8
»»


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

AJPES kot najbolj transparentni državni organ javno objavil vse svoje registre (strani: 1 2 3 4 5 6 7 8 )

Oddelek: Novice / Varnost
369119512 (84745) AndrejO
»

Najdena resna varnostna ranljivost v AJPESovi podpisni komponenti (strani: 1 2 3 4 5 )

Oddelek: Novice / Varnost
20174727 (57281) jukoz
»

Odgovorno razkritje ali neodgovorno nerazkritje (strani: 1 2 3 )

Oddelek: Novice / NWO
13949662 (39799) fujtajksel
»

Ajpes končno priznal: Ne vemo, kaj delamo (strani: 1 2 )

Oddelek: Novice / Varnost
8430084 (20391) Furbo

Več podobnih tem