Slo-Tech - Podjetje Maneks plus za svojo spletno trgovino Kidstar.si, prek katere prodaja obleke, igrače in druge izdelke za najmlajše, uporablja platformo WordPress. Če je uporabnik k URL naslovu spletne trgovine dodal »/uploads«, je lahko dostopal do vseh računov in dobavnic, ki jih je podjetje izdalo. Tako je lahko kdorkoli, brez dodatnega računalniškega znanja, dostopal do osebnih podatkov strank podjetja.




Primeri dobavnic in računov strank:





Informacije o varnostnem incidentu smo včeraj pred objavo članka posredovali Informacijskemu pooblaščencu, z objavo pa počakali do umika spornih vsebin s spleta.

Slo-Tech - "Uhajanja podatkov ni bilo", je za različne slovenske medije na šlamastiko z osebnimi podatki svojih pacientov prek svoje PR službe odgovorila Splošna bolnišnica Izola. V odgovoru so podali večje število argumentov, zakaj naše poročanje ni bilo »pravilno«. V nadaljevanju bomo analizirali glavne argumente bolnišnice Izola in pokazali, kako smo prišli do dejstev, ki smo jih podali v članku Nov vrhunec digitalne transformacije v slovenskem zdravstvu: do podatkov zdravstvenega stanja Primorcev kar prek Googla.

1. »Uhajanja podatkov ni bilo«

Bolnišnica Izola se brani, da je Google javnosti omogočal dostop le do t.i. »snapshotov« oz. »posnetkov splenega mesta«, na katerem so se nahajali izvorni dokumenti. Dostop do samih izvornih dokumentov prek Googla naj ne bi bil mogoč.

Vendar, Google indeksira samo dokumente, ki so javno objavljeni na spletni strani. Sam obstoj posnetkov v Googlovem indeksu dokazuje, da so bili izvorni dokumenti javno dostopni na spletni strani SB Izola.

Google...

Slo-Tech - Da slovenski državni organi bistveno premalo, oziroma praktično nič, ne vlagajo v informacijsko varnost, vemo že dolgo časa. To priznavajo tudi strokovnjaki iz državne uprave sami.

Včasih se na dobronamerna opozorila organi (napol) odzovejo šele čez leta, včasih pa tistega, ki jih opozori na lastne napake kar ovadijo. Tako je bilo zgolj vprašanje časa, kdaj bo sledila kakšna večja katastrofa epskih razsežnosti.

In ta se je tokrat pripetila AJPESu. AJPES, ali Agencija RS za javnopravne evidence in storitve, ima namreč na nedavno prenovljeni spletni strani varnostno ranljivost z resnimi posledicami. Gre za ranljivost, kjer je s pomočjo SQL vrivanja iz zalednih podatkovnih baz mogoče pridobiti tudi tiste podatke, ki preko strani sicer niso dosegljivi. Kot kaže,...

Slo-Tech - Kot smo bili obveščeni, je naključni uporabnik interneta ugotovil, da je imel ponudnik dostopa do interneta Telemach, d.o.o. še do nedavnega napačno nastavljene e-poštne strežnike, tako da so bili podatki o tem, komu in kdaj njihovi uporabniki pošiljajo e-poštna sporočila, prosto dostopni prek interneta. Specifično, nekatere podporne strežnike, ki naj bi bili namenjeni samo njihovim zalednim sistemom, so imeli nastavljene tako, da so bili prosto - brez gesla, šifriranja ali drugih omejitev - dostopni vsakomur, ki bi vedel, kam pogledati.

Njihov strežnik za iskanje (uporabljali so elastic search) je bil tako prosto dosegljiv na naslovu http://31.15.*.*:9200/_all/_search. IP smo seveda...

Slo-Tech - Nemška obveščevalna služba BND je nezakonito zbirala in analizirala podatke z uporabo metod za množično nadzorovanje tako Nemcev kot drugih državljanov, je v do sedaj zaupnem poročilu vladi Angele Merkel zapisal nemški informacijski komisar. Ja, za dogajanje je vedel tudi urad Merklove.

Celotna zgodba je javnosti prvič postala znana pred tremi leti, ko je Edward Snowden razkril vseobsežno spremljanje komunikacij na svetovni ravni, v katero je vključena tudi nemška tajna služba BND (Bundesnachrichtendienst). Nemška vlada je želela to po hitrem postopku pomesti pod preprogo, Informacijski...

podcrto.si - Slovenski možje v modrem sicer menda zadnje čase opravljajo le nujne naloge, ki branijo varnost in neodvisnost države. Očitno med te spada tudi nadzor spletnih komentatorjev in ne bi bili v Sloveniji, če policija podatkov o teh »zločincih zoper lik in delo junakov revolucije« ne bi poizkušala dobiti protipravno. In to so lani poizkušali storiti vsaj 21-krat, je januarja objavil informacijski pooblaščenec, ki je na nezakonito prakso mož v modrem opozoril že leta 2012. Vendar informacijski pooblaščenec naslednjega koraka od opozarjanja očitno noče storiti. Policija je v prejšnji iteraciji te...

ECJ - Ko smo pred štirinajstimi dnevi poročali o odločitvi generalnega pravobranilca sodišča EU, ki je v svojem mnenju predlagal, da sodišče sporazum med Komisijo in ZDA razveljavi, si nihče ni predstavljal, da bo sodišče reagiralo tako bliskovito.

Danes je sodišče objavilo mnenje, v katerem v celoti sledi mnenju pravobranilca in tako razveljavlja sporazum med Komisijo in ZDA na podlagi ugotovitve, da je Komisija s sklenitvijo prekoračila svoja pooblastila. Primer seveda zadeva ponudnika družbenega omrežja Facebook in njihovo benevolentno sodelovanje z ameriškimi obveščevalnimi službami. Poglejmo.

Facebook ima trenutno skoraj poldrugo milijardo aktivnih uporabnikov (ki še kar prihajajo), vendar se njihov pravni oddelek trenutno ukvarja predvsem z enim posameznikom, ki njihove storitve pravzaprav ne želi več uporabljati.

O delu avstrijskega pravnika in aktivista Maxa Schremsa smo že pisali. Njegova zgodba se je začela pred dobrimi štirimi leti, ko je tekom študijske izmenjave v ZDA...

podcrto.si - Policija je januarja in februarja letos brez sodne odredbe od Primorskega vala zahtevala podatke o piscu komentarjev na spletnem portalu, čeprav je že decembra lani sporočila, da je s to nezakonito prakso prenehala.

Drugega decembra lani je Informacijski pooblaščenec razkril dolgotrajno nezakonito prakso policije pri pridobivanju podatkov o bralcih spletnih portalov od upravljavcev portalov. Policija je namreč podatke o identifikatorjih internetnega priključka bralcev (IP naslovih) redno pridobivala brez odredbe sodišča, kar je v nasprotju z veljavnim pravnim redom RS. Ustava namreč določa, da lahko organi pregona podatke o komunikaciji posameznikov pridobivajo le na podlagi sodne odredbe (za namene kazenskega postopka ali varnosti države).

Januarja letos smo se pred objavo decembrskih ugotovitev Informacijskega pooblaščenca s prošnjo za komentar obrnili tudi na policijo. Ti so nam v svojem odzivu med drugim zapisali: »Zaradi ugotovitev nadzora inf. pooblaščenca smo v policiji...

Slo-Tech - O zgodbi s ti. Unijino retencijsko direktivo smo že precej pisali, prvič že leta 2004, ko je Komisija še razmišljala o obvezni hrambi prometnih podatkov za potrebe preiskave hudih kaznivih dejanj in drugih resnih potreb nacionalne varnosti. Zbiranje na "prostovoljni osnovi" je članicam sicer dovolila že l. 2002 z malo ironično poimenovano direktivo o zasebnosti in elektronskih komunikacijah, obveznost pa - kot zdaj vemo - potrdila marca 2006 z omenjeno retencijsko direktivo. Rok za prenos v nacionalno zakonodajo, pri nas Zakon o elektronskih komunikacijah (ZEKom) oz. zdaj ZEKom-1, je potekel 15. septembra 2007. Mi smo seveda požurili in kljub intenzivnemu nasprotovanju tako laične kot strokovne javnosti vse skupaj...

Slo-Tech - Medtem ko se američani ukvarjajo s protestiranjem proti predlogom SOPE in PROTECT IPja, smo v Sloveniji kot vedno že korak naprej.

Ko je januarja 2010 državni zbor sprejel novelo Zakona o igrah na srečo, smo pisali, da tako Slovenija ponovno odpira vrata spletni cenzuri. Te dni pa je UNPIS pričel na Upravnem sodišču dobivati odredbe s katerimi se uveljavlja preblisk, ki so ga v (strokovnem) mnenju pripravljenem za nekega velikega ponudnika dostopa do interneta prebrali jeseni 2010. Že tako sporno zakonsko možnost blokade spletnih strani so nadgradili s preusmeritvijo na svojo domačo stran. V izvirniku se zahteva glasi, da mora ISP onemogočiti pretvorbo tekstovnih spletnih naslovov igralnice v pravi IP naslov tako, da vrne IP naslov spletne strani www.infounpis.si.

Seveda UNPIS na tej spletni strani ne bo beležil prav nobenih podatkov o obiskovalcih (častna skavtska), saj bi bila vzpostavitev tovrstne zbirke protipravna. Prav tako bodo zavestno ignorirali piškotke z avtomatsko...

The New York Times - Sinoči je 8 milijonov ljudi prejelo e-poštno sporočilo od New York Timesa (nytimes@email.newyorktimes.com), v katerem so bili pozvani, naj še enkrat razmislijo glede preklica naročnine na njihov tiskani izvod (glej priponko). Kot se je kasneje izkazalo, je bila pošta namenjela le ~300 ljudem, ki so dajansko preklicali svojo naročnino, ni pa še jasno, zakaj so jo prejeli vsi ostali. V zraku je več teorij, od vdora v njihove poštne strežnike, strežnike njihovega marketinškega sodelavca oz. uradne razlage -...

Slo-Tech - Kot je znano, je Urad za varstvo konkurence julija letos uvedel inšpekcijski nadzor zaradi suma usklajenega ravnanja oziroma omejevalnega sporazuma med trgovskimi družbami Mercator, Spar in Engrotuš. V okviru postopka so pri trgovcih zasegli nekatere podatke iz njihovih računalnikov.

Informacijski pooblaščenec je nato dobil prijavo, da Urad za varstvo konkurence v Mercatorju kopira celotne trde diske nekaterih osebnih računalnikov, na diskih pa naj bi se nahajali tudi osebni podatki in osebna korespondenca zaposlenih.

To naj bi predstavljalo kršitev zakonodaje s področja varstva osebnih podatkov, saj UVK nima zakonske podlage za tovrstno obdelavo osebnih podatkov, zato je Pooblaščenec uvedel inšpekcijski nadzor ter 10. julija 2008 UVK-ju prepovedal kakorkoli uporabljati določene osebne podatke. Konkretno je prepovedal uporabo osebnih podatkov v mapah \\Documents and Settings\ in \\Users\ ter uporabo vseh datotek vrste .nsf (Lotus Notes), .pst, .ost, .pab in .oab (vse Microsoft...