Mapa spletne strani Beko-si.com je bila široko odprta v splet
V nekaterih primerih smo lahko ugotovili pri katerem operaterju ima kupec telefonsko številko...
Nekateri dokumenti pa so vsebovali tudi telefonsko številko in e-naslov kupca
Slo-Tech - Tudi danes nadaljujemo s spomladanskim čiščenjem slovenskih Internetov. V prejšnjih primerih smo našli bolnišnico, ki je na splet odložila osebne podatke pacientov, spletnitrgovini, ki sta objavili račune svojih strank in društvo, ki je objavilo predračune za majice na teku. Tokrat predstavljamo primer, ko se je ta ista "nerodnost" (šlamastika) pripetila multinacionalki.
Mednarodni velikan bele tehnike Beko posluje na petih kontinentih, svoje izdelke pa prodaja tudi v Sloveniji. Zato je »napaka« na njihovi spletni strani, ki je omogočala dostop do različnih osebnih podatkov njihovih strank, presenečenje. Mislili smo, da se velikim, ki približno razuzmejo GDPR in ZVOP, imajo pravne službe in oddelke za marketing (ki sodelujejo z omenjenimi pravnimi službami) te stvari na morejo zgoditi. No, motili smo se.
V eni izmed map spletne strani Beko, ki je bila odprta v splet, je bilo mogoče prosto dostopati do različnih dokumentov, nekateri so vsebovali tudi osebne podatke kupcev:
Nekateri dokumenti so razkrili tudi telefonske številke in elektronske naslove kupcev.
Pošiljanje podatkov v objavo (raziskovalno novinarstvo in 'whistleblowing')
Slo-Tech redno raziskuje in opozarja na nepravilnosti, ki jih posredujejo notranji prijavitelji (t.i. whistleblowerji) in drugi viri. Za komuniciranje z le-temi poleg običajnih kanalov uporablja storitev SecureDrop, ki ob izvajanju osnovnih varnostnih ukrepov omogoča relativno zaupno posredovanje dokumentov. Storitev je preko omrežja TOR na voljo na naslovu: http://wxm23trged7cneqk.onion
Informacije o varnostnem incidentu smo pred objavo članka posredovali Informacijskemu pooblaščencu, z objavo pa počakali do umika spornih vsebin s spleta.
Kdaj bodo korporacije spoznale, da je ceneje onemogočit Slo-tech, kot pa popraviti varovanje osebnih podatkov, kjer gre lahko narobe tisoč stvari?
Nadležnini hekerji delajo gospodarsko škodo. Po ugotovitvah informacijske pooblaščenke itak nobena firma ni kriva. Podatki ne odtekajo, saj so še vedno tam...
Pravilno, naj se objavlja! Udeleženci so praviloma vsi obveščeni pred objavo novice in imajo čas pospravit. Se bodo vsaj naučili kaj pomeni šparat na stroških informatike in internetnega marketinga!
Žal je tega še ogromno... trenutno imam v obdelavi še večje število podobnih zadev. IP-RS in SI-CERT so bili obveščeni, zdaj čakamo, da se zadeve "počistijo".
Je pa vprašanje nekaj drugega. ZVOP-2 (GDPR) v Sloveniji še nismo sprejeli. Če bi bil ZVOP-2 sprejet in v skladu z GDPR, bi državni organi morali malo drugače obravnavat te zadeve. Enako bi bile kazni za malomarna podjetja večje.
Tako da ima nekdo zelo veliko korist od tega, da ZVOP-2 še ni bil sprejet.
Če ima kdo čas, naj po ZDIJZ pridobi dokumente o usklajevalnih sestankih glede ZVOP-2. Posebej zanimiva so stališča/dopisi IP-RS.
Kristus... folku se je pa odpeljalo... se lahko pričakujejo še "prijazna pisma lobirancev"? Bo treba preseliti strežnike v tujino? Vklopiti tehnologijo veriženj blokov vsled mogočih brisanj podatkov? Ker sem še služil JNA, ena njihova motivacijska; "Što više znoja u miru, to manje krvi u ratu"
Ko ne gre več, ko se ustavi, RESET Vas spet v ritem spravi.
Ne stekam tocno tega pocetja. Zakaj je to dobro? Raje naredite kaj uporabnega, ne ta bedast ethical browsing...
To, da ti nečesa ne štekaš, ni kriterij. Raje TI naredi nekaj uporabnega zase, nehaj smetit na temah, ki jih ne razumeš, pa si preberi kaj o tej tematiki: https://duckduckgo.com/?q=ethical+hacki...
Ne stekam tocno tega pocetja. Zakaj je to dobro? Raje naredite kaj uporabnega, ne ta bedast ethical browsing...
Pa ne da ste pri vas doživeli Bigbang zaradi tega članka?
Antifašizem je danes poslednje pribežališče ničvredneža, je ideologija ničesar
in neizprosen boj proti neobstoječemu sovražniku - v zameno za državni denar
in neprofitno najemno stanovanje v središču Ljubljane. -- Tomaž Štih, 2021
ja ja fantje, zagotovo sem dobil po buci, ker sem sconfal web za directory listing. Mislim bravo ej, kot da bi ponoci hodili okoli his in prebivalce opozarjali, da so njihova okna prozorna. Tole ni nic druga, kot pumpanje ega, poleg tega pa se popolnoma neizzivalno. Ampak valda, go ahead...don't mind me.
Ne stekam tocno tega pocetja. Zakaj je to dobro? Raje naredite kaj uporabnega, ne ta bedast ethical browsing...
To, da ti nečesa ne štekaš, ni kriterij. Raje TI naredi nekaj uporabnega zase, nehaj smetit na temah, ki jih ne razumeš, pa si preberi kaj o tej tematiki: https://duckduckgo.com/?q=ethical+hacki...
Se pravi nekdo svoje delo opravi skrajno malomarno (ali pa ga celo ne opravi), s tem ogrozi podatke tretjih oseb, na koncu sta pa kriva Google in "heker", ki je znal preko Googla poiskati JAVNO dostopne podatke?
Ne stekam tocno tega pocetja. Zakaj je to dobro? Raje naredite kaj uporabnega, ne ta bedast ethical browsing...
Zato, ker uporabniki storitev/izdelkov, ki jih ponujajo podjetja, pričakujejo, da so njihovi osebni podatki varni pred širšo javnostjo (naključnim spletnim pajkom, spletnim iskalnikom ali nekom, ki se želi okoristit na njihov račun). To je prostovoljno preizkušanje zaščite in ob enem še "inšpekcija" (predvsem pa, zaradi besede "etično", ni zloraba pridobljenih podatkov). Vendar je tu kazen (tudi) izguba strank in verodostojnosti, ne pa (le) denarna.
Če tega ne bi nihče delal, bi bilo tako, kot če bi pustil odklenjena vhodna vrata in mižal medtem, ko bi ti nekdo kradel po hiši. Samo, da je za preizkušanje varnosti bolje poskrbljeno pri proizvajalcih vrat oziroma ključavnic in zaklepnih mehanizmov.
Oziroma ne, še boljša primerjava je nošenje zaščitne opreme. Primer bi bil gozdar, ki ne bi nosil zaščitne opreme in bi se poškodoval, potem pa govoril, da je proizvodnja in preizkušanje zaščitne opreme nepotrebno. Mogoče bi celo zahteval odškodnino ... hvalabogu se to pri spletni varnosti ne dogaja, ker je vse, ki se jim to zgodi, sram.
