Slo-Tech - Ena izmed prednosti Splošne uredbe (GDPR) je možnost, da uporabniki zahtevajo izbris lastnih podatkov pri njihovih upravljavcih, pri čemer ne gre le za navidezni izbris iz uporabniškega vmesnika, temveč tudi iz vseh baz in varnostnih kopij. Primer je Twitter, kjer si lahko pošiljamo zasebna sporočila, ki ne potujejo v šifrirani obliki in so načelno dostopna tudi zaposlenim pri Twitterju z ustreznimi pravicami ter ob morebitnem vdoru tudi hekerjem.

Informacijski pooblaščenec na Irskem, kjer ima Twitter evropski sedež, je prejel več prijav uporabnikov, ki jim Twitter ni želel pobrisati sporočil. Michael Veale z UCL (University College London) se je odločil, da primer pripelje do konca, zato je od Twitterja uradno zahteval izbris lastnih podatkov. To je resda možno storiti v aplikaciji ali na spletni strani, a kaj se zgodi v zalednih sistemih, je drugo vprašanje. V aplikaciji je možno izbrisati posamezna sporočila ali celotne niti pogovorov, a v vseh primerih ostanejo vidni drugim...

Slo-Tech - Nekdanji direktor varnosti v Ebayu se je izrekel za krivega v sodnem postopku zaradi internetnega zalezovanja. Zgodba, ki ji ne manjka bizarnosti, sega v leto 2019, ko je Jim Baugh začel zalezovati par, ki je na internetu upravljal spletno stran, ki je bila kritična do Ebaya. Ina in David Steiner iz Massachusettsa sta bila zaradi svoje spletne strani tarči nadlegovanja več Ebayevih zaposlenih, ki so večidel svoja dejanja že priznali. Sojenje Baughu se bo začelo maja.

Spletna stran eCommerce Bytes je leta 2019 ujezila Ebayevega izvršnega direktorja Devina Weniga, ko so bile objavljene podrobnosti o njegovi pogodbi in odpravnini. Zato je vodji komunikacije Steve Wymerju naročil, da mora spletna stran proč. Izvedbo je prevzel Baugh, ki je paru med drugim poslal prašičji zarodek, krvavo prašičjo masko, pogrebni venec in knjigo o spopadanju z izgubo partnerja. Večkrat se je peljal mimo njunega doma in jima skušal na avtomobil podtakniti sledilno napravo z GPS. Poleg tega so paru...

The Wall Street Journal - Sodelovanje, ki sta ga sklenila katoliško podjetje za upravljanje bolnišnic Ascension in Google (povezava je plačljiva, alternativni vir), je slednjemu prineslo dostop do imen, priimkov, rojstnih datumov in zdravstvenih kartotek, s tem pa seveda tudi podatke o laboratorijskih izvidih, hospitalizacijah in diagnozah pacientov. Ascension sicer upravlja 2800 bolnišnic v 22 zveznih državah ZDA, zaradi česar je Googlova pridobljena baza zares spoštovanja vredna. Podjetje ob tem pojasnjuje, da je tak dostop do podatkov stalna praksa in, da jim o tem ni potrebno obveščati ne pacientov in ne zdravnikov, podatke pa uporabljajo že vse od lanskega leta.

Dejstvo, da zdravstveni podatki posameznikov potujejo sem in tja na podlagi zasebnih pogodb med podjetji, je seveda precej odjeknilo pri tistih, ki menijo, da bi morali biti pacienti tisti, ki odločajo o tem, kaj se bo zgodilo s podatki, ki se nanašajo na njih.

Predstavniki Googla še pravijo, da gre pri partnerstvu zgolj za prilagajanje...

Slo-Tech - Shranjevanje dokumentov, ki so dostopni na internetu, po zaporednih številkah, je slaba varnostna praksa, zlasti če imajo različne pravice glede dostopa. To je na primer razlog, da imajo posnetki na YouTubu naključne identifikacijske oznake. In to je tudi razlog (seveda ne edini!), da je ameriškemu zavarovalniškemu gigantu First American Financial Corp. na internet ušlo vsaj 885 milijonov osebnih podatkov. Kot razkriva Brian Krebs, so najstarejši zasebni dokumenti, ki so bili javno dostopni na internetu, stari 16 let.

Gre za digitalizirane dokumente, ki vsebujejo številke bančnih računov, višine nakazil, bančne izpiske, podatke o kreditih, davčne napovedi,...

Slo-Tech - Tudi danes nadaljujemo s spomladanskim čiščenjem slovenskih Internetov. V prejšnjih primerih smo našli bolnišnico, ki je na splet odložila osebne podatke pacientov, spletni trgovini, ki sta objavili račune svojih strank in društvo, ki je objavilo predračune za majice na teku. Tokrat predstavljamo primer, ko se je ta ista "nerodnost" (šlamastika) pripetila multinacionalki.

Mednarodni velikan bele tehnike Beko posluje na petih kontinentih, svoje izdelke pa prodaja tudi v Sloveniji. Zato je »napaka« na njihovi spletni strani, ki je omogočala dostop do različnih osebnih podatkov njihovih strank, presenečenje. Mislili smo, da se velikim, ki približno razuzmejo GDPR in ZVOP, imajo pravne službe in oddelke za marketing (ki sodelujejo z omenjenimi...

Slo-Tech - Računi, izdani strankam spletne trgovine Proteini.si s športno prehrano in dodatki k prehrani, so bili prosto dostopni na na spletišču http://izpis.proteini.si/&#8221 (spletna stran je v tem času delovala samo na nešifrirani HTTP povezavi).

Brskanje po strežniški mapi je bilo sicer onemogočeno, zato “na prvo žogo” ni bilo mogoče dobiti seznama vseh računov. Vendar pa je bilo do seznama vseeno mogoče dostopati, in sicer tako, da smo spreminjali številke v imenu datoteke (npr. namesto “1-1-12645.pdf” bi zapisali “1-1-12644.pdf”, itd.).


Iz priloženih zaslonskih posnetkov je tako razvidno, da je bilo mogoče videti račune izdane pravnim in fizičnim osebam, pri čemer je bilo iz računov mogoče videti imena in naslove ter prebivališča fizičnih oseb, pa...

Slo-Tech - "Uhajanja podatkov ni bilo", je za različne slovenske medije na šlamastiko z osebnimi podatki svojih pacientov prek svoje PR službe odgovorila Splošna bolnišnica Izola. V odgovoru so podali večje število argumentov, zakaj naše poročanje ni bilo »pravilno«. V nadaljevanju bomo analizirali glavne argumente bolnišnice Izola in pokazali, kako smo prišli do dejstev, ki smo jih podali v članku Nov vrhunec digitalne transformacije v slovenskem zdravstvu: do podatkov zdravstvenega stanja Primorcev kar prek Googla.

1. »Uhajanja podatkov ni bilo«

Bolnišnica Izola se brani, da je Google javnosti omogočal dostop le do t.i. »snapshotov« oz. »posnetkov splenega mesta«, na katerem so se nahajali izvorni dokumenti. Dostop do samih izvornih dokumentov prek Googla naj ne bi bil mogoč.

Vendar, Google indeksira samo dokumente, ki so javno objavljeni na spletni strani. Sam obstoj posnetkov v Googlovem indeksu dokazuje, da so bili izvorni dokumenti javno dostopni na spletni strani SB Izola.

Google...

Slo-Tech - Izvidi in napotnice Slovencev, ki so se naročili na pregled v bolnišnici Izola od začetka leta 2016, so bili do preteklega tedna dostopni kar prek Googla. Kot je razvidno iz priloženih slik, je prišlo do (tudi za slovenske razmere) neverjetne »šlamastike« pri varovanju osebnih zdravstvenih podatkov pacientov bolnišnice. Vse podrobnosti sicer še niso znane, vse pa kaže, da je IT sistem avtomatično objavljal izvide in napotnice na spletu. Ker Google (in seveda drugi spletni iskalniki) avtomatično indeksira vso vsebino, ki ni zaščitena na platformah, kot je WordPress, je lahko kdorkoli na svetu preverjal zdravstveno stanje Primorcev.

Informacijski pooblaščenec je bil o »nepravilnostih« obveščen pretekli petek in je takoj odredil bolnišnici umik dokumentov s spleta. Kar...

Slo-Tech - “Informacijski pooblaščenec (IP) pojasnjuje, da je pri spletnih piškotkih potrebno razlikovanje glede na njihovo vlogo in invazivnost. “ Tako informacijski pooblaščenec prek svoje PR službe posredno odgovarja na vprašanja in problematiko glede zasebnosti na internetih, ki smo jih v zadnjih tednih izpostavili prek serije člankov (1., 2., 3., 4). Ne bomo trdili, da je bil to odziv prav na naše zapise, čeprav objave časovno sovpadajo.

V tem članku bomo primerjali zadnje medijske objave Informacijskega pooblaščenca z našimi ugotovitvami glede zasebnosti na internetih v Sloveniji.

Prvič: Zakonito in neživljenjsko

Uporabo piškotkov na spletnih straneh v Sloveniji ureja ZEKom-1 v 157. členu. Člen določa kdaj je piškotke dopustno shraniti v terminalski opremi uporabnika, in sicer “[…] samo pod pogojem, da je naročnik ali uporabnik v to privolil potem, ko je bil predhodno jasno in izčrpno obveščen o upravljavcu in namenih obdelave teh podatkov […]”. Zakonska dikcija je dokaj trda,...

Slo-Tech - Ko smo pred kratkim razkrili, da spletišče UKC Ljubljana, namenjeno naročanju pacientov na preglede preko spleta, ni uporabljalo HTTPS šifriranja, smo opozorili tudi na 14. člen Zakona o varstvu osebnih podatkov. Ta določa, da se “pri prenosu občutljivih osebnih podatkov preko telekomunikacijskih omrežij šteje, da so podatki ustrezno zavarovani, če se posredujejo z uporabo kriptografskih metod in elektronskega podpisa tako, da je zagotovljena njihova nečitljivost oziroma neprepoznavnost med prenosom.” UKC Ljubljana je po našem opozorilu na svoje spletišče namestil HTTPS šifriranje, sicer popolnoma neustrezno, a vendarle.

Kako pa je z ostalimi zdravstvenimi ustanovami?

Problema uporabe kriptografskih metod pri...

Slo-Tech - Kot smo bili obveščeni, je naključni uporabnik interneta ugotovil, da je imel ponudnik dostopa do interneta Telemach, d.o.o. še do nedavnega napačno nastavljene e-poštne strežnike, tako da so bili podatki o tem, komu in kdaj njihovi uporabniki pošiljajo e-poštna sporočila, prosto dostopni prek interneta. Specifično, nekatere podporne strežnike, ki naj bi bili namenjeni samo njihovim zalednim sistemom, so imeli nastavljene tako, da so bili prosto - brez gesla, šifriranja ali drugih omejitev - dostopni vsakomur, ki bi vedel, kam pogledati.

Njihov strežnik za iskanje (uporabljali so elastic search) je bil tako prosto dosegljiv na naslovu http://31.15.*.*:9200/_all/_search. IP smo seveda...