»

Spletna trgovina Proteini.si razkrila svoje stranke

Slo-Tech - Računi, izdani strankam spletne trgovine Proteini.si s športno prehrano in dodatki k prehrani, so bili prosto dostopni na na spletišču http://izpis.proteini.si/&#8221 (spletna stran je v tem času delovala samo na nešifrirani HTTP povezavi).

Brskanje po strežniški mapi je bilo sicer onemogočeno, zato “na prvo žogo” ni bilo mogoče dobiti seznama vseh računov. Vendar pa je bilo do seznama vseeno mogoče dostopati, in sicer tako, da smo spreminjali številke v imenu datoteke (npr. namesto “1-1-12645.pdf” bi zapisali “1-1-12644.pdf”, itd.).


Iz priloženih zaslonskih posnetkov je tako razvidno, da je bilo mogoče videti račune izdane pravnim in fizičnim osebam, pri čemer je bilo iz računov mogoče videti imena in naslove ter prebivališča fizičnih oseb, pa...

79 komentarjev

Hekerji uspešno zlorabili sistem spletnega oglaševanja

The Register - Raziskovalci varnostnega podjetja Check Point Research so preiskali zanimivo in obsežno kampanjo t. i. malvertisinga - gre za napade na uporabnike s pomočjo oglasov, ki v sebi skrivajo zlobno kodo. Ta se je raztezala od kriptominerjev, ransomwara, keyloggerjev, pa do običajnih trojancev. Na teden so tako uspešno okužili do 40.000 različnih naprav. Še bolj zanimivo je dejstvo, da so napadalci sami plačevali za objavo okuženih oglasov, namreč, z izsiljevanjem in drugimi negativnimi posledicami njihovega početja, so zaslužili več kot dovolj, da so redno oddajali višje ponudbe od drugih oglaševalcev. In kar je najlepše, na ta način so denar v spletnem oglaševalskem sistemu tudi oprali oz. vsaj delno zabrisali sledi za njegovim kriminalnim izvorom.

Veriga se je...

11 komentarjev

Cenzura ali nesposobnost? Kako je FURS želel "zapreti" Facebook

Slo-Tech - Slovenska Finančna uprava (FURS) je te dni nekaterim ponudnikom dostopa do interneta poslala odredbo o pečatenju poslovnih prostorov kršitelja davčnih predpisov, ki je posloval preko strani na Facebooku. V praksi to pomeni, da je FURS z odredbo zahteval, da naslovljena podjetja vsem svojim uporabnikom zablokirajo dostop do spletne strani Facebook (preusmerijo DNS zapis na UNPIS spletno stran). FURS je odredbo argumentiral s sklicevanjem na 1. odstavek 37. čl. ZFU in 8. člen Pravilnika o načinu izvrševanja pooblastil uradnih oseb finančne uprave rep. sl. in označitvi službenih vozil finančne uprave rep. sl.

Odgovorne osebe pri FURS so sicer kasneje dognale, kaj so pravzaprav zahtevale in so danes preklicale odredbo. Tako viri iz telekomunikacijskih podjetij.

Blokada spletnih strani in socialnih omrežij s strani državnih uradnikov sicer ni nič novega. Rusi napadajo Telegram, Iranci so ga bolj ali manj uspešno že zaustavili, o tem, kaj delajo v Turčiji in na Kitajskem pa verjetno...

94 komentarjev

Telemach ponovno

Slo-Tech - Prav v tednih, ko ameriški hekerji razkrivajo NSAjeve metode za vdore v računalniške sisteme, s katerimi pridobivajo občutljive podatke o svojih tarčah, mi ugotavljamo, da podatke o naših državljanih ponujamo na pladnju. Da je sredstev za informacijsko varnost premalo v javnem sektorju, in da ima to za posledico slabo zavarovane (ali pa mogoče raje sploh ne zavarovane) osebne podatke, smo ugotovili zdaj že nekajkrat. Žal ni s tem nič bolje v zasebnem sektorju. Tokrat slabo varnostno kulturo (ponovno, še enkrat) izkazuje Telemach.

O osebnih podatkih smo že pisali. V enem od zadnjih primerov smo ugotavljali, da so kljub različnim pomislekom, tudi davčne številke osebni podatki, ki jih je treba tako tudi obravnavati. Če imamo pri golih davčnih številkah še nekaj pomislekov, jih pri kombinaciji imena, priimka, domačega naslova in davčne številke...

22 komentarjev

Ali smejo davčne številke po spletu potovati nešifrirane?

Slo-Tech - Finančna uprava RS je 31. marca zavezancem poslala prvi sveženj informativnih izračunov dohodnine za leto 2016. Na svoji spletni strani so zavezancem omogočili, da preverijo ali je bil njihov informativni izračun dohodnine že odpremljen. Preverjanje poteka tako, da zavezanci v okence vpišejo svojo davčno številko, ki se posreduje spletišču eDavki, ki nato sporoči ali je bil informativni izračun že odpremljen ali še ne.

A težava je v tem, da je spletišče FURS (fu.gov.si) dostopno samo preko nešifrirane, HTTP povezave. Ko na to povezavo vpišemo davčno številko, se - kot je razvidno iz izvorne kode spletne strani - posreduje na nešifrirano različico portala eDavki. Če je davčna številka 10000003, je HTTP klic na eDavke sledeč:...

48 komentarjev

Država: Kakšna zasebnost in varnost na internetih, samo plačajte že davke!!!

Slo-Tech - Spet je tisti dan, ko moram državnim biričem nakazati desetino polovico svojih mesečnih prihodkov – oziroma, kot oni temu pravijo, plačati moram davke. Mesečni ritual se začne s pregledom eDavkov, ali država želi od mene še kaj razen običajnih davkov in prispevkov. In, kot vsakokrat, me brskalnik spet prijazno opozori, da spletna stran eDavki ne zagotavlja minimalnih varnostnih zahtev. Roka zadrhti, že tako razredčeni lasje štejejo nove žrtve in možgani preračunavajo, kaj mi država nudi za skoraj 1000 evrov plačanih davkov vsak mesec. Očitno niti varnosti na internetih ne.

Nič, dvignem telefon in v slabi uri sedim na kavi skupaj s tremi ljudmi, ki se imajo za etične hekerje. Prepričam jih, da svoje znanje usmerijo na spletne dacarje in mi pomagajo ugotoviti,...

201 komentar