» »

Transparentna Slovenija #3: Mednarodni velikan z belo tehniko razkril podatke svojih kupcev v Sloveniji

Transparentna Slovenija #3: Mednarodni velikan z belo tehniko razkril podatke svojih kupcev v Sloveniji

Mapa spletne strani Beko-si.com je bila široko odprta v splet

V nekaterih primerih smo lahko ugotovili pri katerem operaterju ima kupec telefonsko številko...

Nekateri dokumenti pa so vsebovali tudi telefonsko številko in e-naslov kupca

Slo-Tech - Tudi danes nadaljujemo s spomladanskim čiščenjem slovenskih Internetov. V prejšnjih primerih smo našli bolnišnico, ki je na splet odložila osebne podatke pacientov, spletni trgovini, ki sta objavili račune svojih strank in društvo, ki je objavilo predračune za majice na teku. Tokrat predstavljamo primer, ko se je ta ista "nerodnost" (šlamastika) pripetila multinacionalki.

Mednarodni velikan bele tehnike Beko posluje na petih kontinentih, svoje izdelke pa prodaja tudi v Sloveniji. Zato je »napaka« na njihovi spletni strani, ki je omogočala dostop do različnih osebnih podatkov njihovih strank, presenečenje. Mislili smo, da se velikim, ki približno razuzmejo GDPR in ZVOP, imajo pravne službe in oddelke za marketing (ki sodelujejo z omenjenimi pravnimi službami) te stvari na morejo zgoditi. No, motili smo se.



V eni izmed map spletne strani Beko, ki je bila odprta v splet, je bilo mogoče prosto dostopati do različnih dokumentov, nekateri so vsebovali tudi osebne podatke kupcev:


Nekateri dokumenti so razkrili tudi telefonske številke in elektronske naslove kupcev.


Pošiljanje podatkov v objavo (raziskovalno novinarstvo in 'whistleblowing')

Slo-Tech redno raziskuje in opozarja na nepravilnosti, ki jih posredujejo notranji prijavitelji (t.i. whistleblowerji) in drugi viri. Za komuniciranje z le-temi poleg običajnih kanalov uporablja storitev SecureDrop, ki ob izvajanju osnovnih varnostnih ukrepov omogoča relativno zaupno posredovanje dokumentov.
Storitev je preko omrežja TOR na voljo na naslovu: http://wxm23trged7cneqk.onion

Informacije o varnostnem incidentu smo pred objavo članka posredovali Informacijskemu pooblaščencu, z objavo pa počakali do umika spornih vsebin s spleta.

35 komentarjev

LeQuack ::

Spet bo mogla informacijska pooblaščenka v bran kapitalistom pisati opravičila. Pa je že mislila da bo miren teden.
Quack !

Pika na i ::

Kmalu bo slogan, kupci so za nas na prvem mestu, zvenel skrajno neokusno.

Yohan del Sud ::

Mar Slo-tech spet dobiva poslanstvo? In morda usmeri pogled onkraj trolske greznice? To bi bilo zelo dobro (brez sarkazma).
www.strancar.com

Bwaze6 ::

S sarkazmom pa:

Kdaj bodo korporacije spoznale, da je ceneje onemogočit Slo-tech, kot pa popraviti varovanje osebnih podatkov, kjer gre lahko narobe tisoč stvari?

Nadležnini hekerji delajo gospodarsko škodo. Po ugotovitvah informacijske pooblaščenke itak nobena firma ni kriva. Podatki ne odtekajo, saj so še vedno tam...

Zgodovina sprememb…

  • predlagal izbris: connel ()

Mr.B ::

Yohan del Sud je izjavil:

Mar Slo-tech spet dobiva poslanstvo? In morda usmeri pogled onkraj trolske greznice? To bi bilo zelo dobro (brez sarkazma).

Na da bo na nivoju. Se en projekt domacih mojstrov za 500€ ali pa druzinskih prijatlov.
Ignoranca JS, da poskrbi za lastno pokojnino,
je neodgovorna. Ampak sej veste jamrati po toči je...

CoolBits ::

Pravilno, naj se objavlja! Udeleženci so praviloma vsi obveščeni pred objavo novice in imajo čas pospravit.
Se bodo vsaj naučili kaj pomeni šparat na stroških informatike in internetnega marketinga!

Utk ::

Zakaj ima sploh beko račune? Je to od reklamacij?

bsslo ::

Verjetno so imeli akcijo/ponudbo, pri čemer dobiš podaljšano garancijo, če jim pošlješ račun o nakupu njihovega izdelka...

lucca brassi ::

BRAVO Slo-Tech! , keep going !
moments before detonation

war-dog ::

A so Pirati stranka in Slo-tech kakorkoli povezani?
Drugače pohvalni prispevki, odpirajo oči potrošnikom kako podjetja ravnajo z njihovimi podatki.
Object reference not set to an instance of an object.

Prospekt ::

Ali obstaja kak TRR kamor se lahko nakaže kak € donacij za dodatno motivacijo slo-tech hax0rjev?

WildChild ::

Samo preko crypto :p
in da mood

Matthai ::

Žal je tega še ogromno... trenutno imam v obdelavi še večje število podobnih zadev. IP-RS in SI-CERT so bili obveščeni, zdaj čakamo, da se zadeve "počistijo".

Je pa vprašanje nekaj drugega. ZVOP-2 (GDPR) v Sloveniji še nismo sprejeli. Če bi bil ZVOP-2 sprejet in v skladu z GDPR, bi državni organi morali malo drugače obravnavat te zadeve. Enako bi bile kazni za malomarna podjetja večje.

Tako da ima nekdo zelo veliko korist od tega, da ZVOP-2 še ni bil sprejet.

Če ima kdo čas, naj po ZDIJZ pridobi dokumente o usklajevalnih sestankih glede ZVOP-2. Posebej zanimiva so stališča/dopisi IP-RS.
All those moments will be lost in time, like tears in rain...
Time to die.

jukoz ::

Matthai je izjavil:


Če ima kdo čas, naj po ZDIJZ pridobi dokumente o usklajevalnih sestankih glede ZVOP-2. Posebej zanimiva so stališča/dopisi IP-RS.


Zanimiva v kakšnem smislu?

JocJOC ::

Ja, tale slo-tech bo počasi postajal trn v peti marsikoga.
Pripravite se, pojačajte serverje!

Ne dajte se! :P

Matthai ::

jukoz je izjavil:

Matthai je izjavil:


Če ima kdo čas, naj po ZDIJZ pridobi dokumente o usklajevalnih sestankih glede ZVOP-2. Posebej zanimiva so stališča/dopisi IP-RS.


Zanimiva v kakšnem smislu?

Ne bom nič rekel. Sem imel že do sedaj dovolj težav zaradi podobnih stvari. ;)
All those moments will be lost in time, like tears in rain...
Time to die.

DexterBoy ::

Kristus... folku se je pa odpeljalo... se lahko pričakujejo še "prijazna pisma lobirancev"?
Bo treba preseliti strežnike v tujino? Vklopiti tehnologijo veriženj blokov vsled mogočih brisanj podatkov?
Ker sem še služil JNA, ena njihova motivacijska;
"Što više znoja u miru, to manje krvi u ratu"
:))
Ko ne gre več, ko se ustavi, RESET Vas spet v ritem spravi.
http://www.avtofil.si/

PaX_MaN ::

bsslo je izjavil:

Verjetno so imeli akcijo/ponudbo, pri čemer dobiš podaljšano garancijo, če jim pošlješ račun o nakupu njihovega izdelka...

Utk je izjavil:

Zakaj ima sploh beko račune? Je to od reklamacij?

Ni akcija, gre za registracijo aparata, podaljšano garancijo dobiš za inverter motor.

Redorange ::

Še Venero shop, Enaa in podobne preglejte za sigurno :))

PaX_MaN ::

Sej Beko-si.com je Bigbang d.o.o., :P

link_up ::

Ne stekam tocno tega pocetja. Zakaj je to dobro? Raje naredite kaj uporabnega, ne ta bedast ethical browsing...
In and Out

Zgodovina sprememb…

  • spremenilo: link_up ()

anketar ::

what?, glih to je prov kar delajo

Evolve ::

pa vi ste pravi hekerji...

dej spravte se napisat raj kakšen konkreten članek, ne pa tole...

Vazelin ::

link_up je izjavil:

Ne stekam tocno tega pocetja. Zakaj je to dobro? Raje naredite kaj uporabnega, ne ta bedast ethical browsing...

Tut operira ne glih vsak. Tukaj pa izgleda kot da spletne trgovine postavlja vsak, ki je dal smartninja tečaj čez:|
Vazelin Investments Ltd.
WE BAKE : YOU MAKE

Kaboom ::

Evolve je izjavil:

pa vi ste pravi hekerji...

dej spravte se napisat raj kakšen konkreten članek, ne pa tole...

Eeeermmm... ne vem kaj čakaš [klik]?
Če se zatakne - pritisni močneje. Če se zlomi - bil je skrajni čas za nakup novega.

Spegli ::

Če jih z dirbusterjem ujameš, ko majo web server na default. Ni pa to omejeno na slo...

nobodyelse ::

Evolve je izjavil:

pa vi ste pravi hekerji...

dej spravte se napisat raj kakšen konkreten članek, ne pa tole...


Hehehehe, glede na objavo je meni edino logično, da trpiš zaradi teh objav :D

JocJOC ::

Hjoj, drekači, v nos jim gre, ker se je nekdo nečesa lotil (po njihovo nekoristnega).

Zgodovina sprememb…

  • predlagalo izbris: Spegli ()

JN ::

link_up je izjavil:

Ne stekam tocno tega pocetja. Zakaj je to dobro? Raje naredite kaj uporabnega, ne ta bedast ethical browsing...

To, da ti nečesa ne štekaš, ni kriterij. Raje TI naredi nekaj uporabnega zase, nehaj smetit na temah, ki jih ne razumeš, pa si preberi kaj o tej tematiki: https://duckduckgo.com/?q=ethical+hacki...

Markoff ::

link_up je izjavil:

Ne stekam tocno tega pocetja. Zakaj je to dobro? Raje naredite kaj uporabnega, ne ta bedast ethical browsing...

Pa ne da ste pri vas doživeli Bigbang zaradi tega članka?
Prve besede v Novoreku idiokracije:
posebaj, skropucalo, inžinir, intiligenca, apsolutno, anEks.
Žal ne govorim idiokratsko ali z idiokrati.

Zgodovina sprememb…

  • predlagal izbris: matijadmin ()

WhiteAngel ::

Markoff je izjavil:

link_up je izjavil:

Ne stekam tocno tega pocetja. Zakaj je to dobro? Raje naredite kaj uporabnega, ne ta bedast ethical browsing...

Pa ne da ste pri vas doživeli Bigbang zaradi tega članka?


Bolj gangbang:))

link_up ::

ja ja fantje, zagotovo sem dobil po buci, ker sem sconfal web za directory listing. Mislim bravo ej, kot da bi ponoci hodili okoli his in prebivalce opozarjali, da so njihova okna prozorna. Tole ni nic druga, kot pumpanje ega, poleg tega pa se popolnoma neizzivalno. Ampak valda, go ahead...don't mind me.

JN je izjavil:

link_up je izjavil:

Ne stekam tocno tega pocetja. Zakaj je to dobro? Raje naredite kaj uporabnega, ne ta bedast ethical browsing...

To, da ti nečesa ne štekaš, ni kriterij. Raje TI naredi nekaj uporabnega zase, nehaj smetit na temah, ki jih ne razumeš, pa si preberi kaj o tej tematiki: https://duckduckgo.com/?q=ethical+hacki...


Ej hvala za nasvet, bom prasal duckija...
In and Out

Zgodovina sprememb…

  • spremenilo: link_up ()

c3p0 ::

Strašljivo je ravno to, da neko hekanje ali znanje sploh ni potrebno.

Matthai ::

Se pravi nekdo svoje delo opravi skrajno malomarno (ali pa ga celo ne opravi), s tem ogrozi podatke tretjih oseb, na koncu sta pa kriva Google in "heker", ki je znal preko Googla poiskati JAVNO dostopne podatke?
All those moments will be lost in time, like tears in rain...
Time to die.

ZigaZiga ::

link_up je izjavil:

Ne stekam tocno tega pocetja. Zakaj je to dobro? Raje naredite kaj uporabnega, ne ta bedast ethical browsing...


Zato, ker uporabniki storitev/izdelkov, ki jih ponujajo podjetja, pričakujejo, da so njihovi osebni podatki varni pred širšo javnostjo (naključnim spletnim pajkom, spletnim iskalnikom ali nekom, ki se želi okoristit na njihov račun). To je prostovoljno preizkušanje zaščite in ob enem še "inšpekcija" (predvsem pa, zaradi besede "etično", ni zloraba pridobljenih podatkov). Vendar je tu kazen (tudi) izguba strank in verodostojnosti, ne pa (le) denarna.

Če tega ne bi nihče delal, bi bilo tako, kot če bi pustil odklenjena vhodna vrata in mižal medtem, ko bi ti nekdo kradel po hiši. Samo, da je za preizkušanje varnosti bolje poskrbljeno pri proizvajalcih vrat oziroma ključavnic in zaklepnih mehanizmov.

Oziroma ne, še boljša primerjava je nošenje zaščitne opreme. Primer bi bil gozdar, ki ne bi nosil zaščitne opreme in bi se poškodoval, potem pa govoril, da je proizvodnja in preizkušanje zaščitne opreme nepotrebno. Mogoče bi celo zahteval odškodnino ... hvalabogu se to pri spletni varnosti ne dogaja, ker je vse, ki se jim to zgodi, sram.

Zgodovina sprememb…

  • spremenil: ZigaZiga ()


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Transparentna Slovenija #2: Razkriti tekači Istrskega maratona (strani: 1 2 )

Oddelek: Novice / Varnost
525145 (858) bbf
»

Transparentna Slovenija #1: Razkriti kupci trgovine z oblekami in opremo za najmlajše

Oddelek: Novice / Zasebnost
344849 (1141) M & M
»

Odgovorno razkritje ali neodgovorno nerazkritje (strani: 1 2 3 )

Oddelek: Novice / NWO
13921255 (11392) fujtajksel
»

Slovenska policija omejuje anonimnost na spletu v Sloveniji? (strani: 1 2 )

Oddelek: Problemi človeštva
625258 (3281) MrStein
»

Pošta Slovenije na spletu objavila seznam "varnih poštnih predalov" (strani: 1 2 )

Oddelek: Novice / Zasebnost
8312757 (8484) Azrael

Več podobnih tem