Telemach ponovno

Prav v tednih, ko ameriški hekerji razkrivajo NSAjeve metode za vdore v računalniške sisteme, s katerimi pridobivajo občutljive podatke o svojih tarčah, mi ugotavljamo, da podatke o naših državljanih ponujamo na pladnju. Da je sredstev za informacijsko varnost premalo v javnem sektorju, in da ima to za posledico slabo zavarovane (ali pa mogoče raje sploh ne zavarovane) osebne podatke, smo ugotovili zdaj že nekajkrat. Žal ni s tem nič bolje v zasebnem sektorju. Tokrat slabo varnostno kulturo (ponovno, še enkrat) izkazuje Telemach.

O osebnih podatkih smo že pisali. V enem od zadnjih primerov smo ugotavljali, da so kljub različnim pomislekom, tudi davčne številke osebni podatki, ki jih je treba tako tudi obravnavati. Če imamo pri golih davčnih številkah še nekaj pomislekov, jih pri kombinaciji imena, priimka, domačega naslova in davčne številke nikakor ni.

In prav takšno kombinacijo podatkov je uspelo javno objaviti Telemachu.

Telemach ima je imel na svojem spletnem mestu stran z iskalnikom. Spletna stran vsebuje obrazec za izpis vseh podatkov o domenah, registriranih na določen dan. Obrazec je vseboval polje za vnos datuma, nakar je poizvedba podatke izpisala.

Glede na navedeno, gre za nekakšno interno orodje, namenjeno uporabi znotraj družbe. Zakaj točno je takšno orodje dostopno z interneta, in ne zgolj iz internega omrežja, nam ni povsem jasno.

Stvar postane še bolj zanimiva, ko pričakuješ, da zadeva ne bo delovala, in klikneš “išči” v neizpolnjenem obrazcu. Program z veseljem izpiše vsebino celotne baze. Imena in priimke oseb, ki so registrirale domene, njihove naslove in davčne številke.

Povzetek vsebine baze:

Število vseh nosilcev: 1682
Število nosilcev z domenami: 1057

Razkritje je do nas prišlo preko našega SecureDropa (ki se ves čas priporoča za nove vsebine). O zadevi smo obvestili Informacijskega pooblaščenca. Tokrat so nas z odzivom prijetno presenetili. V roku nekaj ur je bila spletna stran nedosegljiva.

Problem, ki je privedel do javne objave osebnih podatkov več sto fizičnih oseb, je v Sloveniji dokaj pogost. Na njem nima monopola javni sektor, kot bi morda lahko kdo dobil občutek, občutljivosti za pomen varovanja osebnih podatkov manjka tudi v zasebnem sektorju. Varnost podatkov bi morala vedno biti prva misel snovalcev informacijskih sistemov, pa je žal ponavadi zadnja -- po tem, ko do odtekanja podatkov že pride.