Prijavi se z GoogleID

» »

Dostop do 885 milijonov bančnih podatkov ali zakaj je inkrementalno številčenje slabo

Dostop do 885 milijonov bančnih podatkov ali zakaj je inkrementalno številčenje slabo

Slo-Tech - Shranjevanje dokumentov, ki so dostopni na internetu, po zaporednih številkah, je slaba varnostna praksa, zlasti če imajo različne pravice glede dostopa. To je na primer razlog, da imajo posnetki na YouTubu naključne identifikacijske oznake. In to je tudi razlog (seveda ne edini!), da je ameriškemu zavarovalniškemu gigantu First American Financial Corp. na internet ušlo vsaj 885 milijonov osebnih podatkov. Kot razkriva Brian Krebs, so najstarejši zasebni dokumenti, ki so bili javno dostopni na internetu, stari 16 let.

Gre za digitalizirane dokumente, ki vsebujejo številke bančnih računov, višine nakazil, bančne izpiske, podatke o kreditih, davčne napovedi, posnetke vozniških dovoljenj, številke zdravstvenega zavarovanja in podobne osebne podatke strank. Dostop do vseh teh dokumentov je bil možen kar iz brskalnika brez kakršnekoli avtentikacije. Zadoščalo je imeti dostop do enega dokumenta, potem pa je bilo možno s spreminjanjem zaporedne številke dokumenta v URL-ju prebrati še ostale. Kot kaže, je bila dostopna vsa uradna komunikacija, ki jo je podjetje v zadnjih 16 letih poslalo komurkoli izmed strank. Najstarejši dostopen dokument ima zaporedno številko 000000075 in sega v let 2003, potem pa s povečevanjem števca sledijo čedalje novejši dokumenti vse do sedanjosti. Najnovejši dokumenti opisujejo dogodke, ki se šele bodo zgodili.

V petek so dostop do dokumentov onemogočili. Ni jasno, od kdaj so bili dostopni, zagotovo pa vsaj od marca 2017. Iz podjetja so sporočili, da so seznanjeni z napako v aplikaciji, ki je omogočala nepooblaščen dostop do podatkov. Ker varnost in zasebnost jemljejo zelo resno, so takoj ukrepali in dostop blokirali, so še dodali. Dodatnih informacij do konca notranjega nadzora ne bodo dajali.

5 komentarjev

BlackMaX ::

Tale je dobra "Ker varnost in zasebnost jemljejo zelo resno"

joze67 ::

BlackMaX je izjavil:

Tale je dobra "Ker varnost in zasebnost jemljejo zelo resno"


V petek(*) so dostop do dokumentov onemogočili. Ni jasno, od kdaj so bili dostopni, zagotovo pa vsaj od marca 2017. Ker varnost in zasebnost jemljejo zelo resno, so takoj ukrepali in dostop blokirali

* Novica objavljena "včeraj (torej 25.05.2019) ob 12:22", torej je to petek, 24.05.2019

darkolord ::

Takoj, ko so za luknjo izvedeli.
spamtrap@hokej.si
spamtrap@gettymobile.si

Spura ::

No zdej pa se en slap on the wrist, pa gre karavana dalje. Da meni kdo razlaga o varnosti se mu v obraz smejem ker je to povsem nepomemben vidik softwarea, kar dokazuje obsanje velikih firm in tudi vlad.

WhiteAngel ::

Dobro, pa bodo fasali kakšno kazen?! Kakšna miljardica bi pasala v proračun.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Ima bolnišnica Izola problem z razumevanjem delovanja interneta? (strani: 1 2 )

Oddelek: Novice / Zasebnost
728889 (1844) MMKK
»

Transparentna Slovenija #2: Razkriti tekači Istrskega maratona (strani: 1 2 )

Oddelek: Novice / Varnost
526291 (2004) bbf
»

Omejitve dostopa do interneta na delovnem mestu (strani: 1 2 )

Oddelek: Loža
588233 (5949) NeMeTko
»

javni dostop do številk tekočih računov !! (strani: 1 2 3 )

Oddelek: Problemi človeštva
10810764 (9010) MadMicka

Več podobnih tem