» »

Telemach ponovno

Telemach ponovno

Slo-Tech - Prav v tednih, ko ameriški hekerji razkrivajo NSAjeve metode za vdore v računalniške sisteme, s katerimi pridobivajo občutljive podatke o svojih tarčah, mi ugotavljamo, da podatke o naših državljanih ponujamo na pladnju. Da je sredstev za informacijsko varnost premalo v javnem sektorju, in da ima to za posledico slabo zavarovane (ali pa mogoče raje sploh ne zavarovane) osebne podatke, smo ugotovili zdaj že nekajkrat. Žal ni s tem nič bolje v zasebnem sektorju. Tokrat slabo varnostno kulturo (ponovno, še enkrat) izkazuje Telemach.

O osebnih podatkih smo že pisali. V enem od zadnjih primerov smo ugotavljali, da so kljub različnim pomislekom, tudi davčne številke osebni podatki, ki jih je treba tako tudi obravnavati. Če imamo pri golih davčnih številkah še nekaj pomislekov, jih pri kombinaciji imena, priimka, domačega naslova in davčne številke nikakor ni.

In prav takšno kombinacijo podatkov je uspelo javno objaviti Telemachu.

Telemach ima je imel na svojem spletnem mestu stran z iskalnikom. Spletna stran vsebuje obrazec za izpis vseh podatkov o domenah, registriranih na določen dan. Obrazec je vseboval polje za vnos datuma, nakar je poizvedba podatke izpisala.

Glede na navedeno, gre za nekakšno interno orodje, namenjeno uporabi znotraj družbe. Zakaj točno je takšno orodje dostopno z interneta, in ne zgolj iz internega omrežja, nam ni povsem jasno.

Stvar postane še bolj zanimiva, ko pričakuješ, da zadeva ne bo delovala, in klikneš “išči” v neizpolnjenem obrazcu. Program z veseljem izpiše vsebino celotne baze. Imena in priimke oseb, ki so registrirale domene, njihove naslove in davčne številke.

Povzetek vsebine baze:

Število vseh nosilcev: 1682
Število nosilcev z domenami: 1057


Razkritje je do nas prišlo preko našega SecureDropa (ki se ves čas priporoča za nove vsebine). O zadevi smo obvestili Informacijskega pooblaščenca. Tokrat so nas z odzivom prijetno presenetili. V roku nekaj ur je bila spletna stran nedosegljiva.

Problem, ki je privedel do javne objave osebnih podatkov več sto fizičnih oseb, je v Sloveniji dokaj pogost. Na njem nima monopola javni sektor, kot bi morda lahko kdo dobil občutek, občutljivosti za pomen varovanja osebnih podatkov manjka tudi v zasebnem sektorju. Varnost podatkov bi morala vedno biti prva misel snovalcev informacijskih sistemov, pa je žal ponavadi zadnja -- po tem, ko do odtekanja podatkov že pride.

22 komentarjev

Dr_M ::

Jebeš varnost, važno, da je poceni.

/s off
The reason why most of society hates conservatives and
loves liberals is because conservatives hurt you with
the truth and liberals comfort you with lies.

AndrejS ::

Telesmeh..

Looooooka ::

Dr_M je izjavil:

Jebeš varnost, važno, da je poceni.

/s off

Glede na to, da definitivno imajo nekega administratorja, ki skrbi za njihov web strežnik mu verjetno ni treba plačati milijonov, da zna opraviti najbolj osnovno stvar na zadevi.
Nek basic http auth prek https-ja....pa magar z lastnim certifikatom. To je dobesedno 5 pet minut dela pa tud če ni na windowsih in mora vse vtipkat v shell.
Šalabajzarstvo je problem ne cena :)

ExtraBacon ::

Glede na to, da je ta spletni obrazec izpisal vse podatke naenkrat, to pomeni, da bi sedaj Telemach o odtekanju podatkov moral obvestit vse uporabnike, ki imajo pri njih registrirane domene.

Kaj pa sploh v tem primeru lahko narediš? Zamenjaš davčno? Ne gre. Zahtevaš odškodnino?
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

Zgodovina sprememb…

PaX_MaN ::

preko našega SecureDropa

S-T ma securedrop?

Primoz ::

Ja. Link je viden, če prideš na stran preko Tora (Kontakt).
There can be no real freedom without the freedom to fail.

čuhalev ::

Kaj pa za neuporabnike Tor omrežja?

Primoz ::

Pošlješ mail ... team@slo-tech.com . Samo potem se rabiš sam malo bolj potrudit za svojo anonimnost, če ti je to seveda v interesu.
There can be no real freedom without the freedom to fail.

MrStein ::

Glede na to da nas vsaj tri prvič sliši za zadevo, stvar ni ravno dobro "oglaševana".
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Gregor P ::

Verjetno to ni ravno zadeva za neko strašno "oglaševanje" ;)
The main failure in computers is usually located between keyboard and chair.
You read what you believe and you believe what you read ...
Nisam čit'o, ali osudjujem (nisem bral, a obsojam).

ExtraBacon ::

MrStein je izjavil:

Glede na to da nas vsaj tri prvič sliši za zadevo, stvar ni ravno dobro "oglaševana".

Kaj pa če bi Slo-Tech napisal en članek o temle SecureDropu.
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

ExtraBacon ::

Gregor P je izjavil:

Verjetno to ni ravno zadeva za neko strašno "oglaševanje" ;)


Zakaj pa ne? Več ljudi kot uporablja SecureDrop, bolj se zabrišejo sledi, večji plausible-deniability 8-)

Sem prepričan, da prileti še kaj sočnega.
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

Markoff ::

Mach, teleta.
Antifašizem je danes poslednje pribežališče ničvredneža, je ideologija ničesar
in neizprosen boj proti neobstoječemu sovražniku - v zameno za državni denar
in neprofitno najemno stanovanje v središču Ljubljane. -- Tomaž Štih, 2021

poweroff ::

Hmm, jaz sem šel zdajle gor preko Tora in nekako ne vidim SecureDrop linka... any help?
sudo poweroff

PaX_MaN ::

Saul Goodman ::

Securedrop link bi vsekakor lahko bil dobro viden bookmark na prvi strani, tudi prek clearneta.

ExtraBacon ::

PaX_MaN je izjavil:

Popolnoma nepovezano: https://www.ip-rs.si/novice/posvet-o-od...


Zelo povezano. Upam, da se oblikuje neko uradno stališče glede poročanja ranljivosti. Da ne bo samo rekla kazala.
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

zavajon ::

To, da so uspeli stran zapreti v roku nekaj ur, je za Telemach izjemen čas, glede na to, da že vsaj 2 meseca prenavljajo naročniško spletno aplikacijo. Pa ravno zdaj, ko je zaradi "spremenjenih razmer na trgu" povečana potreba po uporabi le-te ;)

Sinissa ::

Kako že rečejo: garbage in, garbage out.

Ne štekam pa zakaj dvomi da to ni bilo ok, nam so naši pravniki več zdavnaj razložili, da so emšo-ti, davčne številke fizičnih in številke zdravstvenega zavarovaja osebni podatki sami po sebi, ne rabi ti imena in priimka pisat zraven, ali pa slikice met. Da ti že (samo) emšoti pobegnejo iz baze na net boš imel težave.

estons ::

ExtraBacon je izjavil:

PaX_MaN je izjavil:

Popolnoma nepovezano: https://www.ip-rs.si/novice/posvet-o-od...

Zelo povezano. Upam, da se oblikuje neko uradno stališče glede poročanja ranljivosti. Da ne bo samo rekla kazala.


Pa sodeluje tudi kdo iz "druge strani", ali so samo SI-CERT in IP, ki kot vemo mislijo, da razkrivanja sploh ne bi smelo bit?

stb ::

ExtraBacon je izjavil:

Gregor P je izjavil:

Verjetno to ni ravno zadeva za neko strašno "oglaševanje" ;)


Zakaj pa ne? Več ljudi kot uporablja SecureDrop, bolj se zabrišejo sledi, večji plausible-deniability 8-)

Dokler Link ni javno objavljen na dobro vidnem mestu (lahko tudi tu, zakaj pa ne) je to bolj slaba zaščita virov.

MrStein ::

Asociacija na obvestilo o rušenju hiše Arturja Denta... ;)
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

zaupnost davčne številke

Oddelek: Loža
2713499 (8801) Invictus
»

Ali smejo davčne številke po spletu potovati nešifrirane?

Oddelek: Novice / NWO
4818943 (15589) Miha 333
»

varstvo osebnih podatkov ? koga zavezuje ?

Oddelek: Loža
82052 (1907) fosil
»

Pošta Slovenije na spletu objavila seznam "varnih poštnih predalov" (strani: 1 2 )

Oddelek: Novice / Zasebnost
8317596 (13323) Azrael
»

javni dostop do številk tekočih računov !! (strani: 1 2 3 )

Oddelek: Problemi človeštva
10814619 (12865) MadMicka

Več podobnih tem