Spletna trgovina Proteini.si razkrila svoje stranke

Računi, izdani strankam spletne trgovine Proteini.si s športno prehrano in dodatki k prehrani, so bili prosto dostopni na na spletišču http://izpis.proteini.si/&#8221 (spletna stran je v tem času delovala samo na nešifrirani HTTP povezavi).

Brskanje po strežniški mapi je bilo sicer onemogočeno, zato “na prvo žogo” ni bilo mogoče dobiti seznama vseh računov. Vendar pa je bilo do seznama vseeno mogoče dostopati, in sicer tako, da smo spreminjali številke v imenu datoteke (npr. namesto “1-1-12645.pdf” bi zapisali “1-1-12644.pdf”, itd.).

Iz priloženih zaslonskih posnetkov je tako razvidno, da je bilo mogoče videti račune izdane pravnim in fizičnim osebam, pri čemer je bilo iz računov mogoče videti imena in naslove ter prebivališča fizičnih oseb, pa tudi katero blago so stranke kupovale in kdaj.

Nepravilnosti zasledil bralec

Na dogajanje nas je opozoril bralec v komentarju na novico o dostopnosti zdravstvene dokumentacije pacientov SB Izola. Takoj smo preverili verodostojnost trditev in, ko so se te izkazale za pravilne, smo o incidentu obvestili tako Informacijskega pooblaščenca, kot tudi SI-CERT. Moderatorji na Slo-Tech.com pa so objavo (začasno) skrili, da bi s tem preprečili nastajanje dodatne škode.

Pošiljanje podatkov v objavo (raziskovalno novinarstvo in 'whistleblowing')

Slo-Tech redno raziskuje in opozarja na nepravilnosti, ki jih posredujejo notranji prijavitelji (t.i. whistleblowerji) in drugi viri. Za komuniciranje z le-temi poleg običajnih kanalov uporablja storitev SecureDrop, ki ob izvajanju osnovnih varnostnih ukrepov omogoča relativno zaupno posredovanje dokumentov.

Storitev je preko omrežja TOR na voljo na naslovu: http://wxm23trged7cneqk.onion