»

Transparentna Slovenija #3: Mednarodni velikan z belo tehniko razkril podatke svojih kupcev v Sloveniji

Mapa spletne strani Beko-si.com je bila široko odprta v splet

Slo-Tech - Tudi danes nadaljujemo s spomladanskim čiščenjem slovenskih Internetov. V prejšnjih primerih smo našli bolnišnico, ki je na splet odložila osebne podatke pacientov, spletni trgovini, ki sta objavili račune svojih strank in društvo, ki je objavilo predračune za majice na teku. Tokrat predstavljamo primer, ko se je ta ista "nerodnost" (šlamastika) pripetila multinacionalki.

Mednarodni velikan bele tehnike Beko posluje na petih kontinentih, svoje izdelke pa prodaja tudi v Sloveniji. Zato je »napaka« na njihovi spletni strani, ki je omogočala dostop do različnih osebnih podatkov njihovih strank, presenečenje. Mislili smo, da se velikim, ki približno razuzmejo GDPR in ZVOP, imajo pravne službe in oddelke za marketing (ki sodelujejo z omenjenimi...

35 komentarjev

Transparentna Slovenija #2: Razkriti tekači Istrskega maratona

Mapa spletne strani Istrski-maraton.si je bila široko odprta v splet

Slo-Tech - Društvo Istrski maraton, ki je organizator istoimenskega maratona na slovenskem Primorju, za svojo spletno stran uporablja platformo Wordpress. Organizatorji mednarodnega dogodka (spletna stran je tako v Slovenščini kot Italijanščini in Angleščini) so imeli podobno »učinkovito začito« na spletni strani kot spletna trgovina Kidstar.si. Če je uporabnik k URL naslovu spletne strani dodal »/uploads«, je lahko dostopal do vseh računov in dobavnic (popravek: do 10 predračunov generiranih v spletni trgovini), ki jih je društvo izdalo.



Tako je lahko kdorkoli, brez dodatnega računalniškega znanja, dostopal do osebnih podatkov udeležencev maratona in kupcev izdelkov, ki jih društvo prodaja prek spleta.
Primeri računov strank:






Informacije o varnostnem incidentu smo pred objavo članka...

52 komentarjev

Transparentna Slovenija #1: Razkriti kupci trgovine z oblekami in opremo za najmlajše Kidstar.si

Slo-Tech - Podjetje Maneks plus za svojo spletno trgovino Kidstar.si, prek katere prodaja obleke, igrače in druge izdelke za najmlajše, uporablja platformo WordPress. Če je uporabnik k URL naslovu spletne trgovine dodal »/uploads«, je lahko dostopal do vseh računov in dobavnic, ki jih je podjetje izdalo. Tako je lahko kdorkoli, brez dodatnega računalniškega znanja, dostopal do osebnih podatkov strank podjetja.




Primeri dobavnic in računov strank:





Informacije o varnostnem incidentu smo včeraj pred objavo članka posredovali Informacijskemu pooblaščencu, z objavo pa počakali do umika spornih vsebin s spleta.

34 komentarjev

Spletna trgovina Proteini.si razkrila svoje stranke

Slo-Tech - Računi, izdani strankam spletne trgovine Proteini.si s športno prehrano in dodatki k prehrani, so bili prosto dostopni na na spletišču http://izpis.proteini.si/&#8221 (spletna stran je v tem času delovala samo na nešifrirani HTTP povezavi).

Brskanje po strežniški mapi je bilo sicer onemogočeno, zato “na prvo žogo” ni bilo mogoče dobiti seznama vseh računov. Vendar pa je bilo do seznama vseeno mogoče dostopati, in sicer tako, da smo spreminjali številke v imenu datoteke (npr. namesto “1-1-12645.pdf” bi zapisali “1-1-12644.pdf”, itd.).


Iz priloženih zaslonskih posnetkov je tako razvidno, da je bilo mogoče videti račune izdane pravnim in fizičnim osebam, pri čemer je bilo iz računov mogoče videti imena in naslove ter prebivališča fizičnih oseb, pa...

79 komentarjev

Odgovorno razkritje ali neodgovorno nerazkritje

Dostop preko HTTPS povezave nas preusmeri na povsem drugo spletišče, kar kaže na uporabo skupnega gostovanja za eno večjih zbirk osebnih podatkov.

Slo-Tech - V lanskem letu se je v Sloveniji zgodil eden večjih incidentov na področju varstva osebnih podatkov v zdravstvu. V eni večjih slovenskih zdravstvenih ustanov niso bili ogroženi le osebni podatki zaposlenih, pač pa tudi osebni podatki pacientov. Dostopna je bila zdravniška dokumentacija, vključno z napotnicami, ki vsebujejo zelo občutljive osebne podatke pacientov. Vse skupaj je bilo široko odprto v splet, spletni strežnik zdravstvene ustanove pa sploh ni uporabljal HTTPS zaščitene povezave.

In zakaj javnost o tem incidentu ničesar ne ve? Preprosto zato, ker v Sloveniji prevladuje kultura skrivanja napak in pometanja le-teh pod preprogo. Namesto, da bi se o napakah pripravilo izčrpno poročilo, ki bi vsebovalo...

139 komentarjev

Desettisoče osebnih podatkov na internetu, Informacijski pooblaščenec pa ukrepa le mukoma

Vir: radiokaos.info

Slo-Tech - Kot smo bili obveščeni, je naključni uporabnik interneta ugotovil, da je imel ponudnik dostopa do interneta Telemach, d.o.o. še do nedavnega napačno nastavljene e-poštne strežnike, tako da so bili podatki o tem, komu in kdaj njihovi uporabniki pošiljajo e-poštna sporočila, prosto dostopni prek interneta. Specifično, nekatere podporne strežnike, ki naj bi bili namenjeni samo njihovim zalednim sistemom, so imeli nastavljene tako, da so bili prosto - brez gesla, šifriranja ali drugih omejitev - dostopni vsakomur, ki bi vedel, kam pogledati.

Njihov strežnik za iskanje (uporabljali so elastic search) je bil tako prosto dosegljiv na naslovu http://31.15.*.*:9200/_all/_search. IP smo seveda...

123 komentarjev

Britanski Telekom vohunil za 36.000 uporabniki svetovnega spleta

Daily Mail - Britanski informacijski pooblaščenec je začel preiskavo zadnjega odmevnega primera kršitve informacijske zasebnosti na Otoku. Britanski telekom (BT) je priznal, da so z lažnimi preverjanji sistema spremljali ravnanje 36.000 uporabnikov svetovnega spleta brez njihove vednosti.

V podjetju so priznali, da so med letoma 2006 in 2007 naključno izbrali omenjeno število strank med uporabniki širokopasovnega dostopa za "tehnični preizkus". Seveda niso nikomur razložili, da je poseben sistem za nadzor, ki ga je razvilo ameriško podjetje Phorm, dostopal do podatkov na računalniku in beležil vsebino vsake strani, ki jo je uporabnik/ca obiskal/a. Sistem je gradil bazo ključnih besed in si skušal zapomniti uporabnikove navade ter...

3 komentarji