Slo-Tech - Spomladansko čiščenje slovenskih Internetov se nadaljuje

Na konferenci Hek.si, ki je potekala konec prejšnjega meseca, je bilo predstavljenih nekaj ranljivosti, ki so bile odkrite v začetku tega leta in o katerih smo poročali tudi na tem portalu. Osnovno sporočilo predstavitve je bilo, da je z nekaj malega iskanja oz. tim. “Google hackinga” na slovenskem spletu mogoče najti številne varnostne ranljivosti, zaradi katerih so ogroženi številni osebni podatki. In to kljub temu, da je v lanskem letu okrog GDPR vladala prava histerija, ki so jo pomagale ustvarjati in jo tudi izkoriščale predvsem nekatere odvetniške družbe, ki so seveda dobro služile z urejanjem dokumentacije, pisanjem pravilnikov in pripravo soglasij za obdelavo osebnih podatkov. Podjetja so nato varstvo osebnih podatkov dodobra uredila na papirju, da bi se pravila udejanila v praksi, pa nihče ni kaj dosti razmišljal.

Tokrat tako nadaljujemo s spomladanskim čiščenjem slovenskih Internetov.

Univerza v Mariboru

Kot nas...

Slo-Tech - Kupovanje spolnih pripomočkov v tim. “sex shopih” je povezano z določeno družbeno stigmo. Ljudem je praviloma neprijetno stopiti v fizično trgovino in kupiti enega izmed bolj ali manj eksplicitnih artiklov. Po drugi strani pa lahko nakup kakršnega koli izdelka iz omenjene kategorije povsem enostavno in praviloma tudi bolj anonimno opravimo preko spleta. Klik ali dva in čez nekaj dni nam poštar v nevpadljivi embalaži dostavi naročeni izdelek na dom.

Ostanejo pa digitalne sledi. Ime in priimek kupca, njegov naslov (za dostavo), kontaktni podatki (telefonska številka, e-naslov) in bančna transakcija. Ter seveda kaj je oseba kupila in kdaj. In ti podatki so občutljivi.

sex-trgovina.si

Anonimni vir nas je pretekli teden opozoril na dve...

Slo-Tech - Društvo Istrski maraton, ki je organizator istoimenskega maratona na slovenskem Primorju, za svojo spletno stran uporablja platformo Wordpress. Organizatorji mednarodnega dogodka (spletna stran je tako v Slovenščini kot Italijanščini in Angleščini) so imeli podobno »učinkovito začito« na spletni strani kot spletna trgovina Kidstar.si. Če je uporabnik k URL naslovu spletne strani dodal »/uploads«, je lahko dostopal do vseh računov in dobavnic (popravek: do 10 predračunov generiranih v spletni trgovini), ki jih je društvo izdalo.



Tako je lahko kdorkoli, brez dodatnega računalniškega znanja, dostopal do osebnih podatkov udeležencev maratona in kupcev izdelkov, ki jih društvo prodaja prek spleta.
Primeri računov strank:






Informacije o varnostnem incidentu smo pred objavo članka...

Slo-Tech - V lanskem letu se je v Sloveniji zgodil eden večjih incidentov na področju varstva osebnih podatkov v zdravstvu. V eni večjih slovenskih zdravstvenih ustanov niso bili ogroženi le osebni podatki zaposlenih, pač pa tudi osebni podatki pacientov. Dostopna je bila zdravniška dokumentacija, vključno z napotnicami, ki vsebujejo zelo občutljive osebne podatke pacientov. Vse skupaj je bilo široko odprto v splet, spletni strežnik zdravstvene ustanove pa sploh ni uporabljal HTTPS zaščitene povezave.

In zakaj javnost o tem incidentu ničesar ne ve? Preprosto zato, ker v Sloveniji prevladuje kultura skrivanja napak in pometanja le-teh pod preprogo. Namesto, da bi se o napakah pripravilo izčrpno poročilo, ki bi vsebovalo...

SI-CERT - Eden od zaposlenih pri Nacionalnem odzivnem centru za obravnavo varnostnih incidentov (SI-CERT), Tadej Hren, je na svojem Twitter profilu pokazal, kako pri njih ukrepajo proti lastnikom prikritih omrežij (tim. botnetov). Kot kaže tako, da vdrejo v njihove spletne račune in jih zaklenejo ven :).

Kot izhaja iz tam objavljene zaslonske slike, je SI-CERT preiskoval delovanje določenega prikritega omrežja, ki je računalnike okuževal z HawkEye keyloggerjem. To je pritajeni program, ki zbira pritiske na tipkovnico in tako lovi gesla za spletne storitve, vnesene kreditne kartice, idr. Na žrtvin računalnik...

CNet - Prejšnji teden smo pisali o zaslišanju, ki je potekalo pred odborom ameriškega senata za trgovino, znanost in transport. Na njem so govorili o slabi poslovni praksi podjetij, kot so Webloyalty, Affinion ali Vertrue. Z njimi so namreč veliki spletni trgovci sklenili več milijonov težke pogodbe, po katerih so kupcem tik pred zaključkom nakupa pokazali reklamo s povezavo do teh strani, ki so v zameno za vpisani e-naslov obljubljale popuste. V drobnem tisku je pisalo, da se z vpisom e-naslova kupci strinjajo, da trgovci posredujejo njihove številke kreditnih kartic omenjenim podjetjem, ki so jih nato vsak mesec ostrigli za nekaj deset dolarjev.

Spričo publicitete, ki jo je zaslišanje prineslo, se je vendarle začelo premikati. Nekateri trgovci, recimo Continental Airlines, ne sodelujejo več s temi podjetji. Žal jih večina ne vidi v tem početju nič spornega, čeprav ga je senat označil kot prevaro, tatvino in rop, in čeprav je senat nabral kar nekaj dokumentacije (PDF). Večina trgovcem...