Desettisoče osebnih podatkov na internetu, Informacijski pooblaščenec pa ukrepa le mukoma

Kot smo bili obveščeni, je naključni uporabnik interneta ugotovil, da je imel ponudnik dostopa do interneta Telemach, d.o.o. še do nedavnega napačno nastavljene e-poštne strežnike, tako da so bili podatki o tem, komu in kdaj njihovi uporabniki pošiljajo e-poštna sporočila, prosto dostopni prek interneta. Specifično, nekatere podporne strežnike, ki naj bi bili namenjeni samo njihovim zalednim sistemom, so imeli nastavljene tako, da so bili prosto - brez gesla, šifriranja ali drugih omejitev - dostopni vsakomur, ki bi vedel, kam pogledati.

Njihov strežnik za iskanje (uporabljali so elastic search) je bil tako prosto dosegljiv na naslovu http://31.15.*.*:9200/_all/_search. IP smo seveda prikrili, a le toliko, da je še vedno jasno, da gre za Telemachov lastni strežnik. Z obiskom tega mesta in vnosa enostavnih iskalnih parametrov je bilo tako mogoče preveriti, kdo pošilja e-poštna sporočila Telemachovim uporabnikom (From: in To: polja, čas prejema sporočila, IP naslov pošiljatelja).

Prav tako so imeli na drugem IP naslovu prosto dosegljiv memcached strežnik, ki je tudi hranil prometne podatke o prejetih in poslanih e-poštnih sporočilih. Vsakdo se je lahko povezal nanj in z nekaj znanja odtujil te podatke.

Za javno dosegljivost obeh storitev je seveda krivo podjetje Telemach. Po vsej verjetnosti so oba strežnika pozabili nastaviti tako, da bi bila dostopna le znotraj Telemachove interne mreže. Prav tako so pozabili nastaviti požarni zid ali IDS sistem, ki bi lahko preprečila ali vsaj zaznala takšne zunanje dostope. Navedena dejanja štejejo za osnove omrežne varnosti in jih gre pričakovati od vsakega kolikor toliko kompetentnega podjetja, ki želi ponujati storitve preko spleta. Težko je gledati, da zanje niso poskrbeli pri operaterju, ki ima, v skladu z zakonom in pričakovanji javnosti, še mnogo večjo dolžnost, da za sporočila svojih strank skrbi kot dober gospodar. Če bi pustili odprt samo en strežnik, bi jim še bilo mogoče verjeti, da gre za slučaj oz. za nesrečno naključje. Dva strežnika, vsak na svojem IP naslovu, pa kažeta na resno in najbrž sistemsko malomarnost.

Posledica te malomarnosti je bila, da so bila e-poštna sporočila njihovih strank v določenem delu vse do včeraj prosto dostopna na spletu. Ne vemo, kdaj se je to začelo, niti kdo je dostopal do njih in ali je bilo iz tega naslova povzročene kaj škode. To je treba še ugotoviti in tu bi Telemach, če želi ohraniti vsaj malo ugleda, moral prevzeti proaktivno vlogo. Upamo seveda, če že zaščite ni bilo, da so imeli vsaj osnovne dnevnike dostopa, ki bi lahko razjasnili, ali in kdo je gledal podatke njihovih strank.

To je en problem. Drug problem pa je ravnanje pristojnih institucij. Kot nam je sporočil navedeni uporabnik interneta, je o zadevi prejšnji petek obvestil Informacijskega pooblaščenca. V prijavi je pooblaščencu pojasnil, kaj je našel ter ga prosil za ukrepanje.

Pooblaščenec tej prijavi očitno ni bil kos. V svojem dopisu mu je še isti dan odgovoril, da nimajo "posebnega programerskega znanja", ki bi bilo potrebno za kontrolo prijave. Zato so raziskovalca zaprosili, naj dopolni svojo prijavo z bolj enostavno razumljivimi navodili, sicer jo bodo zavrgli. Prijavitelj jim je takoj odpisal in jim pojasnil, da je elastic search iskalnik dosegljiv kar preko spletnega brskalnika ter podal primer, kako najti podatke o e-poštnih sporočilih, ki so bila Telemachovim uporabnikom poslana z @gov.si (vladne) domene. Za memcached pa jim je pojasnil, da je dostop možen s terminalskim programom telnet. Priložil je tudi zaslonsko sliko s podrobnejšimi navodili.

Pooblaščenec si je nato, kljub resnosti zadeve, vzel nekaj dni za svoj naslednji odziv. V torek poslanem dopisu so prijavitelju sicer potrdili, da je preko iskalnika mogoče videti, s kom komunicirajo Telemachovi uporabniki in kdaj, vendar pa menijo, da s tem ni nič narobe, ker Google teh podatkov (še?) ni poindeksiral. Skratka, ker uporabniški podatki niso dosegljivi tudi preko Googla, po mnenju Pooblaščenca očitno niso javno dostopni. Do memcached pa kljub dodatnim navodilom sploh niso uspeli priti. Zato so prijavitelja ponovno pozvali, naj jim pošlje "kopijo podatkovne baze z vsemi elektronskimi naslovi, ki naj bi bili po njegovem mnenju javno dostopni in bi torej bili dokaz, da se ti dejansko nahajajo na strežnikih Telemach."

Zdi se torej, da IP ni znal sam preveriti navedb prijavitelja in se zato odločil to nalogo prevaliti kar na njega. To je zaskrbljujoče že samo po sebi, še hujše pa je, da ga je pri tem pravzaprav pozval, da brezplačno namesto njih opravi njihov inšpekcijski postopek. Namreč, če prijavitelj tega ne bo storil, bo prijava ponovno zavržena: "v kolikor prijave ne boste dopolnili, šteje ta dopis za obvestilo o neuvedbi inšpekcijskega postopka.".

***

Dodajamo, da novico objavljamo v skladu s pravili družbeno odgovornega razkrivanja varnostnih pomanjkljivosti. Naš cilj je bil izključno to, da se čim prej ustavi javna dostopnost podatkov o e-poštnih sporočilih Telemachovih strank ter da se opozori na opisane vprašljive prakse nadzornih organov. Menimo, da zavoljo nepripravljenosti Informacijskega pooblaščenca za ukrepanje ni bilo druge možnosti.

Med pripravljanjem tega besedila smo med drugim kontaktirali tudi Informacijskega pooblaščenca, ki je takoj po prejemu vprašanja odreagiral in poskrbel, da je Telemachova zbirka izginila z interneta. Poraja se vprašanje, kakšen sistem prioritet ima informacijski pooblaščenec, saj so v primerih, ko gre na primer za kršitev zasebnosti roparja v gostinskem lokalu z objavo posnetka ropa pripravljeni nemudoma odreagirati sami, ko pa je vprašanje nekaj deset tisoč podatkov v zvezi z elektronsko pošto, pa za reakcijo potrebujejo zunanjo spodbudo.

Telemachova služba za korporativno komuniciranje je imela danes med enajsto in dvanajsto uro ves čas zasedeno telefonsko številko. Morebitni odziv bomo objavili, ko ga bomo prejeli.

Dopolnitev: Telemach je v vmesnem času na svoji spletni strani objavil obvestilo o varnostnem tveganju v katerem pojasnjuje napako v zvezi z elastic searchom. Do dela v zvezi z memcached strežnikom se niso opredelili.