Slo-Tech

»

Dostop do 885 milijonov bančnih podatkov ali zakaj je inkrementalno številčenje slabo

Slo-Tech - Shranjevanje dokumentov, ki so dostopni na internetu, po zaporednih številkah, je slaba varnostna praksa, zlasti če imajo različne pravice glede dostopa. To je na primer razlog, da imajo posnetki na YouTubu naključne identifikacijske oznake. In to je tudi razlog (seveda ne edini!), da je ameriškemu zavarovalniškemu gigantu First American Financial Corp. na internet ušlo vsaj 885 milijonov osebnih podatkov. Kot razkriva Brian Krebs, so najstarejši zasebni dokumenti, ki so bili javno dostopni na internetu, stari 16 let.

Gre za digitalizirane dokumente, ki vsebujejo številke bančnih računov, višine nakazil, bančne izpiske, podatke o kreditih, davčne napovedi,...

5 komentarjev

Ima bolnišnica Izola problem z razumevanjem delovanja interneta?

Slo-Tech - "Uhajanja podatkov ni bilo", je za različne slovenske medije na šlamastiko z osebnimi podatki svojih pacientov prek svoje PR službe odgovorila Splošna bolnišnica Izola. V odgovoru so podali večje število argumentov, zakaj naše poročanje ni bilo »pravilno«. V nadaljevanju bomo analizirali glavne argumente bolnišnice Izola in pokazali, kako smo prišli do dejstev, ki smo jih podali v članku Nov vrhunec digitalne transformacije v slovenskem zdravstvu: do podatkov zdravstvenega stanja Primorcev kar prek Googla.

1. »Uhajanja podatkov ni bilo«

Bolnišnica Izola se brani, da je Google javnosti omogočal dostop le do t.i. »snapshotov« oz. »posnetkov splenega mesta«, na katerem so se nahajali izvorni dokumenti. Dostop do samih izvornih dokumentov prek Googla naj ne bi bil mogoč.

Vendar, Google indeksira samo dokumente, ki so javno objavljeni na spletni strani. Sam obstoj posnetkov v Googlovem indeksu dokazuje, da so bili izvorni dokumenti javno dostopni na spletni strani SB Izola.

Google...

72 komentarjev

Nov vrhunec digitalne transformacije v slovenskem zdravstvu: do podatkov zdravstvenega stanja Primorcev kar prek Googla

Slo-Tech - Izvidi in napotnice Slovencev, ki so se naročili na pregled v bolnišnici Izola od začetka leta 2016, so bili do preteklega tedna dostopni kar prek Googla. Kot je razvidno iz priloženih slik, je prišlo do (tudi za slovenske razmere) neverjetne »šlamastike« pri varovanju osebnih zdravstvenih podatkov pacientov bolnišnice. Vse podrobnosti sicer še niso znane, vse pa kaže, da je IT sistem avtomatično objavljal izvide in napotnice na spletu. Ker Google (in seveda drugi spletni iskalniki) avtomatično indeksira vso vsebino, ki ni zaščitena na platformah, kot je WordPress, je lahko kdorkoli na svetu preverjal zdravstveno stanje Primorcev.

Informacijski pooblaščenec je bil o »nepravilnostih« obveščen pretekli petek in je takoj odredil bolnišnici umik dokumentov s spleta. Kar...

183 komentarjev

Male rumene pikice Reality Leigh Winner poslale v zapor za pet let

Slo-Tech - V Georgii je zaradi izdaje zaupnih dokumentov medijem okrožno sodišče danes obsodilo 26-letno Reality Leigh Winner. Ker je leta 2017 časniku The Intercept posredovala dokumente, ki so dokazovali, da so Rusi leto pred tem poizkusili vplivati na ameriške predsedniške volitve z vdiranjem v računalniški sistem proizvajalca programske opreme za glasovanje in s pošiljanjem zlonamerne elektronske pošte več kot sto uradnikom (spear phishing), bo v zaporu preživela pet let in tri mesece. Najvišja zagrožena kazen je znašala 10 let, tožilstvo pa je zaradi njenega priznanja krivde zahtevalo ravno dosojeno kazen. Zgodba ni zanimiva le zato, ker gre za najvišjo kazen za razkrivanjem tajnih informacij novinarjem, temveč ker so Winnerjevo tako hitro identificirali in aretirali...

43 komentarjev

Odgovorno razkritje ali neodgovorno nerazkritje

Dostop preko HTTPS povezave nas preusmeri na povsem drugo spletišče, kar kaže na uporabo skupnega gostovanja za eno večjih zbirk osebnih podatkov.

Slo-Tech - V lanskem letu se je v Sloveniji zgodil eden večjih incidentov na področju varstva osebnih podatkov v zdravstvu. V eni večjih slovenskih zdravstvenih ustanov niso bili ogroženi le osebni podatki zaposlenih, pač pa tudi osebni podatki pacientov. Dostopna je bila zdravniška dokumentacija, vključno z napotnicami, ki vsebujejo zelo občutljive osebne podatke pacientov. Vse skupaj je bilo široko odprto v splet, spletni strežnik zdravstvene ustanove pa sploh ni uporabljal HTTPS zaščitene povezave.

In zakaj javnost o tem incidentu ničesar ne ve? Preprosto zato, ker v Sloveniji prevladuje kultura skrivanja napak in pometanja le-teh pod preprogo. Namesto, da bi se o napakah pripravilo izčrpno poročilo, ki bi vsebovalo...

139 komentarjev