» »

Spomladansko čiščenje slovenskih Internetov se nadaljuje

Spomladansko čiščenje slovenskih Internetov se nadaljuje

Slo-Tech - Spomladansko čiščenje slovenskih Internetov se nadaljuje

Na konferenci Hek.si, ki je potekala konec prejšnjega meseca, je bilo predstavljenih nekaj ranljivosti, ki so bile odkrite v začetku tega leta in o katerih smo poročali tudi na tem portalu. Osnovno sporočilo predstavitve je bilo, da je z nekaj malega iskanja oz. tim. “Google hackinga” na slovenskem spletu mogoče najti številne varnostne ranljivosti, zaradi katerih so ogroženi številni osebni podatki. In to kljub temu, da je v lanskem letu okrog GDPR vladala prava histerija, ki so jo pomagale ustvarjati in jo tudi izkoriščale predvsem nekatere odvetniške družbe, ki so seveda dobro služile z urejanjem dokumentacije, pisanjem pravilnikov in pripravo soglasij za obdelavo osebnih podatkov. Podjetja so nato varstvo osebnih podatkov dodobra uredila na papirju, da bi se pravila udejanila v praksi, pa nihče ni kaj dosti razmišljal.

Tokrat tako nadaljujemo s spomladanskim čiščenjem slovenskih Internetov.

Univerza v Mariboru

Kot nas je obvestil eden izmed bralcev, je bilo na spletni strani Univerze v Mariboru mogoče najti poročila o praktičnem izobraževanju študentov.



Poročila so vsebovala osebne podatke študentov, poleg imena in priimka študenta ter smeri študija tudi vpisno številko ter kontaktne podatke (e-pošto in telefon):





Informacijo o tem smo sredi marca posredovali Informacijskemu pooblaščencu in na SI-CERT. Kmalu po tem je bil dostop do vsebine onemogočen.

Poslovni podatki na spletu
Podoben je tudi primer spletne strani Kuponko.si, kjer je bilo mogoče videti PDF račune strank. Sicer (na prvi pogled) ni bilo videti, da bi omenjeni dokumenti vsebovali kakšne varovane osebne podatke, je pa vsekakor šlo za poslovno dokumentacijo interne narave, ki je bila javno dostopna.





Informacije o obeh najdenih varnostnih incidentih smo posredovali na SI-CERT. Iz SI-CERT-a so nam kasneje sporočili, da so upravljavce spletišč o zadevi obvestili ter da je napaka odpravljena.

Osebni podatki članov društva

Zanimiv je tudi primer Društva psihologov Slovenije, kjer je bil v širni splet odprt imenik za nalaganje datotek na strežnik:



Datoteke, ki so jih člani društva posredovali preko spletne strani, so vsebovale številne osebne podatke, v vsaj enem primeru celo podatke o zdravstvenem stanju.

Tako smo lahko preko spletne strani dps.si videli potrdilo o zaključku študija…



Podaljšanje statusa študenta/tke zaradi zdravstvenih razlogov:



Potrdila o plačilu članarine (vidni so bili bančni podatki):









Informacije o obeh najdenih varnostnih incidentih smo sredi marca posredovali na SI-CERT in IP-RS. Iz SI-CERT-a so nam nekaj dni kasneje sporočili, da so jih upravljavci spletišča obvestili, da je napaka odpravljena.

3 komentarji

marsovcek ::

Eden od pripetih dokumentov je premalo cenzuriran ;)

marvin42 ::

Ja, vsaj ime vasi bi bilo dobro še prečrtati.
Mostly Harmless

zavtom ::

Tudi tisti, ki izobražujejo imajo težave, kako da jih potem ne bodo imeli ostali....
 fail

fail



Za LDAPS očitno še niso slišali, za skrivanje debug messagov pred končnimi uporabniki pa očitno tudi ne.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Sodišče EU: Če imate Facebookove vtičnike na svoji spletni strani, ste soodgovorni za (strani: 1 2 )

Oddelek: Novice / NWO
7324340 (16745) hfvby65
»

Transparentna Slovenija #7: Tudi spletna stran ZD Nova Gorica si zasluži nekaj ljubez

Oddelek: Novice / Zasebnost
3411819 (7996) aerie
»

Transparentna Slovenija #6: Zdravstveni dom Kamnik podatke svojih pacientov deli tudi

Oddelek: Novice / NWO
318719 (5762) slitkx
»

Transparentna Slovenija #5: Spletni trgovini s spolnimi pripomočki razkrili svoje kup (strani: 1 2 3 )

Oddelek: Novice / Zasebnost
12551058 (28772) Saul Goodman
»

Piškotki kot dimna zavesa spletne varnosti in zasebnosti

Oddelek: Novice / Zasebnost
3015168 (12738) ExtraBacon

Več podobnih tem