Spomladansko čiščenje slovenskih Internetov se nadaljuje

Spomladansko čiščenje slovenskih Internetov se nadaljuje

Na konferenci Hek.si, ki je potekala konec prejšnjega meseca, je bilo predstavljenih nekaj ranljivosti, ki so bile odkrite v začetku tega leta in o katerih smo poročali tudi na tem portalu. Osnovno sporočilo predstavitve je bilo, da je z nekaj malega iskanja oz. tim. “Google hackinga” na slovenskem spletu mogoče najti številne varnostne ranljivosti, zaradi katerih so ogroženi številni osebni podatki. In to kljub temu, da je v lanskem letu okrog GDPR vladala prava histerija, ki so jo pomagale ustvarjati in jo tudi izkoriščale predvsem nekatere odvetniške družbe, ki so seveda dobro služile z urejanjem dokumentacije, pisanjem pravilnikov in pripravo soglasij za obdelavo osebnih podatkov. Podjetja so nato varstvo osebnih podatkov dodobra uredila na papirju, da bi se pravila udejanila v praksi, pa nihče ni kaj dosti razmišljal.

Tokrat tako nadaljujemo s spomladanskim čiščenjem slovenskih Internetov.

Univerza v Mariboru

Kot nas je obvestil eden izmed bralcev, je bilo na spletni strani Univerze v Mariboru mogoče najti poročila o praktičnem izobraževanju študentov.

Poročila so vsebovala osebne podatke študentov, poleg imena in priimka študenta ter smeri študija tudi vpisno številko ter kontaktne podatke (e-pošto in telefon):

Informacijo o tem smo sredi marca posredovali Informacijskemu pooblaščencu in na SI-CERT. Kmalu po tem je bil dostop do vsebine onemogočen.

Poslovni podatki na spletu
Podoben je tudi primer spletne strani Kuponko.si, kjer je bilo mogoče videti PDF račune strank. Sicer (na prvi pogled) ni bilo videti, da bi omenjeni dokumenti vsebovali kakšne varovane osebne podatke, je pa vsekakor šlo za poslovno dokumentacijo interne narave, ki je bila javno dostopna.

Informacije o obeh najdenih varnostnih incidentih smo posredovali na SI-CERT. Iz SI-CERT-a so nam kasneje sporočili, da so upravljavce spletišč o zadevi obvestili ter da je napaka odpravljena.

Osebni podatki članov društva

Zanimiv je tudi primer Društva psihologov Slovenije, kjer je bil v širni splet odprt imenik za nalaganje datotek na strežnik:

Datoteke, ki so jih člani društva posredovali preko spletne strani, so vsebovale številne osebne podatke, v vsaj enem primeru celo podatke o zdravstvenem stanju.

Tako smo lahko preko spletne strani dps.si videli potrdilo o zaključku študija…

Podaljšanje statusa študenta/tke zaradi zdravstvenih razlogov:

Potrdila o plačilu članarine (vidni so bili bančni podatki):

Informacije o obeh najdenih varnostnih incidentih smo sredi marca posredovali na SI-CERT in IP-RS. Iz SI-CERT-a so nam nekaj dni kasneje sporočili, da so jih upravljavci spletišča obvestili, da je napaka odpravljena.