» »

Izraelska vladajoča stranka objavila podatke vseh volivcev v državi

Izraelska vladajoča stranka objavila podatke vseh volivcev v državi

vir: Thehackernews

vir: The Hacker News
The Hacker News - Spletna aplikacija, ki jo uporablja izraelska vladajoča stranka Likud, je tri tedne pred parlametnarnimi volitvami v državi po malomarnosti razkrila osebne podatke vseh 6,5 milijona izraelskih volilnih upravičencev. Aplikacijo Elektor je razvilo podjetje Feed-b, stranka pa ga je uporabljala za predvolilno obveščanje volivcev. V Izraelu namreč vse stranke pred volitvami v ta namen prejmejo podatke o vseh volivcih, teh pa ne smejo posredovati tretjim osebam in so obenem zadolžene za njihovo varovanje, po volitvah pa so jih dolžne izbrisati.

Kot rečeno je Feed-b podatke naložil v svojo aplikacijo, problem pa je tičal v povsem nezaščiteni kodi za API klic na končno točko; če je uporabnik prišel na spletno stran aplikacije in izbral opcijo "ogled vira strani", so se mu med sicer javno izvorno kodo pokazala tudi administratorska uporabniška imena in gesla. Če jih je nato vnesel, je dobil poln dostop do registra volivcev, ki si ga je lahko po želji tudi prenesel. Spletna stran ob tem ni uporabljala dvostopenjske avtentikacije, ki bi dostop prav tako zavarovala.

Objavljeni podatki so vsebovali polna imena, številke osebnih izkaznic, naslove in spol volivcev, ob tem pa še ime očeta in matere, telefonsko številko in še nekatere druge podrobnosti. Skratka, vse.

Luknjo je po naključju odkril Ran Bar-Zik, sicer zaposlen kot programer pri Verizon Media, ki je po lastnih besedah zavpil "jackpot", ko so se podatki znašli pred njegovimi očmi.

Čeprav je Feed-b stran takoj ugasnil in odpravil napako, pa ni jasno ali se je v vmesnem času, preden so varnostno luknjo odkrili, kdo podatkov polastil. Podatki o izraelskih politikih, vojaških in drugih pomembnežih bi zagotovo razveselili prenekatere državno podprte hekerske skupine na Bližnjem vzhodu. Podoben incident je je v Izraelu že primeril leta 2006, ko je register celotnega prebivalstva ukradel zaposleni na notranjem ministrstvu in ga nato objavil na spletu.

37 komentarjev

jype9 ::

Ljudje pa še vedno mislijo, da je programerjev preveč.

Šalabajzerjev vsekakor.

dronyx ::

V Izraelu namreč vse stranke pred volitvami v ta namen prejmejo podatke o vseh volivcih, teh pa ne smejo posredovati tretjim osebam...


Genialno res. Torej ustanoviš neko partijo in ti morajo izročiti podatke o vseh volivcih. Čemu pa to služi? Hodijo kot jehove priče strankarski veljaki v Izraelu door to door?

Matthai ::

To je pač tako, ko daš lisici (politični stranki) za čuvat jajca (osebne podatke volivcev). 8-)
All those moments will be lost in time, like tears in rain...
Time to die.

SeMiNeSanja ::

Matthai je izjavil:

To je pač tako, ko daš lisici (politični stranki) za čuvat jajca (osebne podatke volivcev). 8-)

Nak.

Lisica bi jih pojedla in se obliznila.

Tukaj pa so klovni žonglirali z jajci, pri tem pa tvegali, da vsa popadejo na tla in se razbijejo (podatki odtečejo...).
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

#000000 ::

jype9 je izjavil:

Ljudje pa še vedno mislijo, da je programerjev preveč.

Šalabajzerjev vsekakor.


Mislil si teh šalabajzijev ki imajo veze in delajo za Državo, isto kot je bil FMC in je SRC še danes, samo ne mečemo več 300 mil eur letno za IT, kar je napaka pomojem, če bi odšteli prisklednike omenjene prej.

jype10 ::

Ja, te sem mislil.

spam321 ::

#000000 je izjavil:

jype9 je izjavil:

Ljudje pa še vedno mislijo, da je programerjev preveč.

Šalabajzerjev vsekakor.


Mislil si teh šalabajzijev ki imajo veze in delajo za Državo, isto kot je bil FMC in je SRC še danes, samo ne mečemo več 300 mil eur letno za IT, kar je napaka pomojem, če bi odšteli prisklednike omenjene prej.


Tisti brez vez so še slabši.

Zgodovina sprememb…

  • spremenilo: spam321 ()

proto ::

jype9 je izjavil:

Ljudje pa še vedno mislijo, da je programerjev preveč.

Šalabajzerjev vsekakor.


Bi raje malo parafraziral: ljudje se vedno mislijo, da je vsakdo lahko programmer in da je copy/paste iz interneta in da nekaj miga dovolj.

WhiteAngel ::

Kaj pa zdaj?

nekikr ::

Nič. Saj še nikoli ni bilo nič.

          ::

Tale tema se pa bere kot kašen roman Emila Filipčiča.

spam321 ::

Samo, a si predstavljate, kako velik genialc moraš biti, da narediš takšno oslarijo? :))

Leaker49 ::

spam321 je izjavil:

Samo, a si predstavljate, kako velik genialc moraš biti, da narediš takšno oslarijo? :))


A nimajo oni kao najvišji IQ na planetu?

feryz ::

Očitno jih je mnogo preveč. Sploh takih, ki se samo nazivajo za programerje. Pa plačo dobijo.

Sicer pa, kdo se sploh sekira za tole? Sankcije vemo kakšne bodo. Bonus nagrada za uspešno popravilo napak. Nič hudega, če svojih.

Matthai ::

spam321 je izjavil:

Samo, a si predstavljate, kako velik genialc moraš biti, da narediš takšno oslarijo? :))

Po moje se lahko podobno zgodi marsikateri slovenski IT firmi...
All those moments will be lost in time, like tears in rain...
Time to die.

nekikr ::

Objavljeni podatki so vsebovali polna imena, številke osebnih izkaznic, naslove in spol volivcev, ob tem pa še ime očeta in matere, telefonsko številko in še nekatere druge podrobnosti. Skratka, vse.

Ampak recimo skoraj vse od tega je objavljeno tudi v telefonskem imeniku Slovenije. Z nekaj dodatnega programja lahko izluščiš in povežeš še ostale podatke, ki tam manjkajo. Saj je šlamparija, ampak ne vidim kako bi objava takih podatkov zatresla temelje sveta. Nekaj drugega bi bilo, če bi zraven pisalo še koga so volili nazadnje ali pa kakšne bolezni imajo, skratka, nekaj bolj osebnega kot TIS podatki.

sumoborac ::

nekikr je izjavil:

Objavljeni podatki so vsebovali polna imena, številke osebnih izkaznic, naslove in spol volivcev, ob tem pa še ime očeta in matere, telefonsko številko in še nekatere druge podrobnosti. Skratka, vse.

Ampak recimo skoraj vse od tega je objavljeno tudi v telefonskem imeniku Slovenije. Z nekaj dodatnega programja lahko izluščiš in povežeš še ostale podatke, ki tam manjkajo. Saj je šlamparija, ampak ne vidim kako bi objava takih podatkov zatresla temelje sveta. Nekaj drugega bi bilo, če bi zraven pisalo še koga so volili nazadnje ali pa kakšne bolezni imajo, skratka, nekaj bolj osebnega kot TIS podatki.


številke osebnih izkaznic

Tole nisi priblizno ne dobis v imeniku. Tudi povezave mati/oče is TISa ne dobiš brez dolgoletnega scrapinga (da bi si naredil timeline). Za večino prebivalstva pod 40 let pa tudi z tem ne, saj večina ljudi ni več v telefonskem imeniku.
Prid sm al pa tm ostan...

spam321 ::

Matthai je izjavil:

spam321 je izjavil:

Samo, a si predstavljate, kako velik genialc moraš biti, da narediš takšno oslarijo? :))

Po moje se lahko podobno zgodi marsikateri slovenski IT firmi...



Se ne bi mogel bolj strinjati. Kaj več pa ne bom rekel, ker bom spet brisan.

nekikr ::

Tole nisi priblizno ne dobis v imeniku. Tudi povezave mati/oče is TISa ne dobiš brez dolgoletnega scrapinga (da bi si naredil timeline). Za večino prebivalstva pod 40 let pa tudi z tem ne, saj večina ljudi ni več v telefonskem imeniku.

Če vključiš Facebook lahko dobiš manjkajoče povezave, brez št. osebne izkaznice, a z nepregledno goro ostalih, resnično osebnih, podatkov. Še enkrat, gre za šlamparijo, na vidim pa kako bo tole zatreslo temelje sistema.

Glugy ::

dronyx je izjavil:

V Izraelu namreč vse stranke pred volitvami v ta namen prejmejo podatke o vseh volivcih, teh pa ne smejo posredovati tretjim osebam...


Genialno res. Torej ustanoviš neko partijo in ti morajo izročiti podatke o vseh volivcih. Čemu pa to služi? Hodijo kot jehove priče strankarski veljaki v Izraelu door to door?


To tud men ni jasn. To je tko k da bi dal farmacevtskim podjetjem seznam bolnikov da se lahko okoristijo.

zmaugy ::

Komedija, vsak ki ima 5 minut časa, lahko dobi večino temeljnih podatkov o vseh državljanih neke države. A je to prvoaprilska šala?
Biseri...

T-h-o-r ::

davčne številke, emšota ipd. ne moreš kar tako dobit
Why have a civilization anymore
if we no longer are interested in being civilized?

nekikr ::

Tudi iz tega spiska jih ne moreš dobiti, ker so tam "Objavljeni podatki so vsebovali polna imena, številke osebnih izkaznic, naslove in spol volivcev, ob tem pa še ime očeta in matere, telefonsko številko in še nekatere druge podrobnosti. Skratka, vse."
Skratka, 90% tega kar je v telefonskem imeniku.

T-h-o-r ::

torej si dal "številke osebnih izkaznic" po pomoti tja
Why have a civilization anymore
if we no longer are interested in being civilized?

tony1 ::

Glugy je izjavil:

dronyx je izjavil:

V Izraelu namreč vse stranke pred volitvami v ta namen prejmejo podatke o vseh volivcih, teh pa ne smejo posredovati tretjim osebam...


Genialno res. Torej ustanoviš neko partijo in ti morajo izročiti podatke o vseh volivcih. Čemu pa to služi? Hodijo kot jehove priče strankarski veljaki v Izraelu door to door?


To tud men ni jasn. To je tko k da bi dal farmacevtskim podjetjem seznam bolnikov da se lahko okoristijo.


Dobro desetletje tega sem bral članek (no, bolj kolumno) nekega prof. dr. Gamsa (ki je menda tatamata na IJS-ju), ki se je zgražal, kako zaostala država smo, ker še nismo (in ker nočemo) uvesti enotne kartice vsakega državljana, na kateri bi bile združena osebna, zdravstvena, vozniška, pametna kartica z osebnim certifikatom... in še kaj.

Zapisal je tudi trditev, da zlorab ne bo, jih ne more biti, in da ni nikjer bilo še nobene zlorabe takšne kartice. Oh, wait...

zmaugy ::

T-h-o-r je izjavil:

davčne številke, emšota ipd. ne moreš kar tako dobit


Ne vemo, ker ne podajajo vseh podrobnosti. Ampak ok, morda res ne. Kljub temu pa spisek imen z naslovi in imeni staršev in telefonskimi številkami? Ne vem kako je z večino ljudi, sam nimam nobene svoje številke objavljene v telefonskem imeniku.
Biseri...

zmaugy ::

Številka osebne izkaznice je verjetno lahko kar zanimiv podatek za socialni inženiring.
Biseri...

Looooooka ::

Se ne bi moglo zgoditi "boljsemu" narodu. Mogoce bom se v karmo zacel verjet.

mr_chai ::

Looooooka je izjavil:

Se ne bi moglo zgoditi "boljsemu" narodu. Mogoce bom se v karmo zacel verjet.

antisemit much ?

Pač so bli brogrammers...ampak glavno, da imajo 100 % test coverage. TDD FTW!!

Zgodovina sprememb…

  • spremenilo: mr_chai ()

Sakin ::

Grem stavit, da imajo še moj stari naslov :)
Na Nach Nachma Nachman Meuman!

varifow727 ::

????? ????, ? ??? ??? ??? ???? ??? ?????? ????? :)

YESSSS. am.es/kull

Zgodovina sprememb…

  • predlagal izbris: MrStein ()

MrStein ::

tony1 je izjavil:


Zapisal je tudi trditev, da zlorab ne bo, jih ne more biti, in da ni nikjer bilo še nobene zlorabe takšne kartice. Oh, wait...

Fajn bi bilo, če bi povedal kaj več o tej zlorabi.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

tony1 ::

Uvedba takšne kartice odpira pot morebitnim zlorabam analogno kot primer iz te novice, kjer so vsaki politični stranki "kar tako, ker nima kaj biti" predali osebne podatke vseh volivcev.

MrStein ::

Aha, torej zgolj ugibaš.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

tony1 ::

Torej bi rad konkretni primer? Pa saj se je o tem pisalo ravno na S-Tju...

Na estonskih osebnih, ki jih izdajajo *vsem* državljanom po vrsti je shranjen tudi certifikat državljana, "ker je tako priročno in nima kaj bit".

https://slo-tech.com/novice/t711525

MrStein ::

In zadeva nima absolutno nič z "ena kartica za vse je slaba".
Razen v primeru, da bi za vse tudi isti ključ uporabil (pa še to tista kartica ne počne). Še to je vprašanje.

Primer pa je itak "predlani se je ena Fiat Panda ponesrečila, zato je uporaba vozil nesmiselna in nevarna!"
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

tony1 ::

Primera sta ena taka "dajmo omejitev hitrosti za tovornjake in avte ukinit, ker so vozila na štiri kolesa varna in nima kaj bit". No zdaj pa je... nekaj.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Izraelska vladajoča stranka objavila podatke vseh volivcev v državi

Oddelek: Novice / Zasebnost
373265 (256) tony1
»

eVolitve - eni za, eni proti

Oddelek: Problemi človeštva
162182 (1650) AndrejO
»

(Ponovna) Želja po uvedbi e-volitev v Sloveniji

Oddelek: Problemi človeštva
321582 (1178) Mipe
»

Izraelsko-arabska vojna se bije tudi na medmrežju (strani: 1 2 3 )

Oddelek: Novice / Varnost
1169840 (6359) Pšenični
»

Slovenija poživlja ali o glasovanju na volitvah preko interneta (strani: 1 2 3 )

Oddelek: Novice / Zasebnost
1119091 (6263) Daedalus

Več podobnih tem