» »

Telemach ponovno

Telemach ponovno

Slo-Tech - Prav v tednih, ko ameriški hekerji razkrivajo NSAjeve metode za vdore v računalniške sisteme, s katerimi pridobivajo občutljive podatke o svojih tarčah, mi ugotavljamo, da podatke o naših državljanih ponujamo na pladnju. Da je sredstev za informacijsko varnost premalo v javnem sektorju, in da ima to za posledico slabo zavarovane (ali pa mogoče raje sploh ne zavarovane) osebne podatke, smo ugotovili zdaj že nekajkrat. Žal ni s tem nič bolje v zasebnem sektorju. Tokrat slabo varnostno kulturo (ponovno, še enkrat) izkazuje Telemach.

O osebnih podatkih smo že pisali. V enem od zadnjih primerov smo ugotavljali, da so kljub različnim pomislekom, tudi davčne številke osebni podatki, ki jih je treba tako tudi obravnavati. Če imamo pri golih davčnih številkah še nekaj pomislekov, jih pri kombinaciji imena, priimka, domačega naslova in davčne številke nikakor ni.

In prav takšno kombinacijo podatkov je uspelo javno objaviti Telemachu.

Telemach ima je imel na svojem spletnem mestu stran z iskalnikom. Spletna stran vsebuje obrazec za izpis vseh podatkov o domenah, registriranih na določen dan. Obrazec je vseboval polje za vnos datuma, nakar je poizvedba podatke izpisala.

Glede na navedeno, gre za nekakšno interno orodje, namenjeno uporabi znotraj družbe. Zakaj točno je takšno orodje dostopno z interneta, in ne zgolj iz internega omrežja, nam ni povsem jasno.

Stvar postane še bolj zanimiva, ko pričakuješ, da zadeva ne bo delovala, in klikneš “išči” v neizpolnjenem obrazcu. Program z veseljem izpiše vsebino celotne baze. Imena in priimke oseb, ki so registrirale domene, njihove naslove in davčne številke.

Povzetek vsebine baze:

Število vseh nosilcev: 1682
Število nosilcev z domenami: 1057


Razkritje je do nas prišlo preko našega SecureDropa (ki se ves čas priporoča za nove vsebine). O zadevi smo obvestili Informacijskega pooblaščenca. Tokrat so nas z odzivom prijetno presenetili. V roku nekaj ur je bila spletna stran nedosegljiva.

Problem, ki je privedel do javne objave osebnih podatkov več sto fizičnih oseb, je v Sloveniji dokaj pogost. Na njem nima monopola javni sektor, kot bi morda lahko kdo dobil občutek, občutljivosti za pomen varovanja osebnih podatkov manjka tudi v zasebnem sektorju. Varnost podatkov bi morala vedno biti prva misel snovalcev informacijskih sistemov, pa je žal ponavadi zadnja -- po tem, ko do odtekanja podatkov že pride.

22 komentarjev

Dr_M ::

Jebeš varnost, važno, da je poceni.

/s off
The reason why most of society hates conservatives and
loves liberals is because conservatives hurt you with
the truth and liberals comfort you with lies.

AndrejS ::

Telesmeh..

Looooooka ::

Dr_M je izjavil:

Jebeš varnost, važno, da je poceni.

/s off

Glede na to, da definitivno imajo nekega administratorja, ki skrbi za njihov web strežnik mu verjetno ni treba plačati milijonov, da zna opraviti najbolj osnovno stvar na zadevi.
Nek basic http auth prek https-ja....pa magar z lastnim certifikatom. To je dobesedno 5 pet minut dela pa tud če ni na windowsih in mora vse vtipkat v shell.
Šalabajzarstvo je problem ne cena :)

ExtraBacon ::

Glede na to, da je ta spletni obrazec izpisal vse podatke naenkrat, to pomeni, da bi sedaj Telemach o odtekanju podatkov moral obvestit vse uporabnike, ki imajo pri njih registrirane domene.

Kaj pa sploh v tem primeru lahko narediš? Zamenjaš davčno? Ne gre. Zahtevaš odškodnino?
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

Zgodovina sprememb…

PaX_MaN ::

preko našega SecureDropa

S-T ma securedrop?

Primoz ::

Ja. Link je viden, če prideš na stran preko Tora (Kontakt).
There can be no real freedom without the freedom to fail.

čuhalev ::

Kaj pa za neuporabnike Tor omrežja?

Primoz ::

Pošlješ mail ... team@slo-tech.com . Samo potem se rabiš sam malo bolj potrudit za svojo anonimnost, če ti je to seveda v interesu.
There can be no real freedom without the freedom to fail.

MrStein ::

Glede na to da nas vsaj tri prvič sliši za zadevo, stvar ni ravno dobro "oglaševana".
Teštiram če delaž - umlaut dela: ä ?

Gregor P ::

Verjetno to ni ravno zadeva za neko strašno "oglaševanje" ;)
The main failure in computers is usually located between keyboard and chair.
You read what you believe and you believe what you read ...
Nisam čit'o, ali osudjujem (nisem bral, a obsojam).

ExtraBacon ::

MrStein je izjavil:

Glede na to da nas vsaj tri prvič sliši za zadevo, stvar ni ravno dobro "oglaševana".

Kaj pa če bi Slo-Tech napisal en članek o temle SecureDropu.
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

ExtraBacon ::

Gregor P je izjavil:

Verjetno to ni ravno zadeva za neko strašno "oglaševanje" ;)


Zakaj pa ne? Več ljudi kot uporablja SecureDrop, bolj se zabrišejo sledi, večji plausible-deniability 8-)

Sem prepričan, da prileti še kaj sočnega.
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

Markoff ::

Mach, teleta.
Ad astra per aspera

Matthai ::

Hmm, jaz sem šel zdajle gor preko Tora in nekako ne vidim SecureDrop linka... any help?
All those moments will be lost in time, like tears in rain...
Time to die.

PaX_MaN ::

Saul Goodman ::

Securedrop link bi vsekakor lahko bil dobro viden bookmark na prvi strani, tudi prek clearneta.

ExtraBacon ::

PaX_MaN je izjavil:

Popolnoma nepovezano: https://www.ip-rs.si/novice/posvet-o-od...


Zelo povezano. Upam, da se oblikuje neko uradno stališče glede poročanja ranljivosti. Da ne bo samo rekla kazala.
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

zavajon ::

To, da so uspeli stran zapreti v roku nekaj ur, je za Telemach izjemen čas, glede na to, da že vsaj 2 meseca prenavljajo naročniško spletno aplikacijo. Pa ravno zdaj, ko je zaradi "spremenjenih razmer na trgu" povečana potreba po uporabi le-te ;)

Sinissa ::

Kako že rečejo: garbage in, garbage out.

Ne štekam pa zakaj dvomi da to ni bilo ok, nam so naši pravniki več zdavnaj razložili, da so emšo-ti, davčne številke fizičnih in številke zdravstvenega zavarovaja osebni podatki sami po sebi, ne rabi ti imena in priimka pisat zraven, ali pa slikice met. Da ti že (samo) emšoti pobegnejo iz baze na net boš imel težave.

estons ::

ExtraBacon je izjavil:

PaX_MaN je izjavil:

Popolnoma nepovezano: https://www.ip-rs.si/novice/posvet-o-od...

Zelo povezano. Upam, da se oblikuje neko uradno stališče glede poročanja ranljivosti. Da ne bo samo rekla kazala.


Pa sodeluje tudi kdo iz "druge strani", ali so samo SI-CERT in IP, ki kot vemo mislijo, da razkrivanja sploh ne bi smelo bit?

stb ::

ExtraBacon je izjavil:

Gregor P je izjavil:

Verjetno to ni ravno zadeva za neko strašno "oglaševanje" ;)


Zakaj pa ne? Več ljudi kot uporablja SecureDrop, bolj se zabrišejo sledi, večji plausible-deniability 8-)

Dokler Link ni javno objavljen na dobro vidnem mestu (lahko tudi tu, zakaj pa ne) je to bolj slaba zaščita virov.

MrStein ::

Asociacija na obvestilo o rušenju hiše Arturja Denta... ;)
Teštiram če delaž - umlaut dela: ä ?


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

zaupnost davčne številke

Oddelek: Loža
276304 (1606) Invictus
»

Ali smejo davčne številke po spletu potovati nešifrirane?

Oddelek: Novice / NWO
487044 (3690) Miha 333
»

varstvo osebnih podatkov ? koga zavezuje ?

Oddelek: Loža
8864 (719) fosil
»

Nova osebna izkaznica

Oddelek: Informacijska varnost
252489 (1617) Gjurisic

Več podobnih tem