The Hacker News - Spletna aplikacija, ki jo uporablja izraelska vladajoča stranka Likud, je tri tedne pred parlametnarnimi volitvami v državi po malomarnosti razkrila osebne podatke vseh 6,5 milijona izraelskih volilnih upravičencev. Aplikacijo Elektor je razvilo podjetje Feed-b, stranka pa ga je uporabljala za predvolilno obveščanje volivcev. V Izraelu namreč vse stranke pred volitvami v ta namen prejmejo podatke o vseh volivcih, teh pa ne smejo posredovati tretjim osebam in so obenem zadolžene za njihovo varovanje, po volitvah pa so jih dolžne izbrisati.
Kot rečeno je Feed-b podatke naložil v svojo aplikacijo, problem pa je tičal v povsem nezaščiteni kodi za API klic na končno točko; če je uporabnik prišel na spletno stran aplikacije in izbral opcijo "ogled vira strani", so se mu med sicer javno izvorno kodo pokazala tudi administratorska uporabniška imena in gesla. Če jih je nato vnesel, je dobil poln dostop do registra volivcev, ki si ga je lahko po želji tudi prenesel. Spletna stran ob tem ni uporabljala dvostopenjske avtentikacije, ki bi dostop prav tako zavarovala.
Objavljeni podatki so vsebovali polna imena, številke osebnih izkaznic, naslove in spol volivcev, ob tem pa še ime očeta in matere, telefonsko številko in še nekatere druge podrobnosti. Skratka, vse.
Luknjo je po naključju odkril Ran Bar-Zik, sicer zaposlen kot programer pri Verizon Media, ki je po lastnih besedah zavpil "jackpot", ko so se podatki znašli pred njegovimi očmi.
Čeprav je Feed-b stran takoj ugasnil in odpravil napako, pa ni jasno ali se je v vmesnem času, preden so varnostno luknjo odkrili, kdo podatkov polastil. Podatki o izraelskih politikih, vojaških in drugih pomembnežih bi zagotovo razveselili prenekatere državno podprte hekerske skupine na Bližnjem vzhodu. Podoben incident je je v Izraelu že primeril leta 2006, ko je register celotnega prebivalstva ukradel zaposleni na notranjem ministrstvu in ga nato objavil na spletu.
V Izraelu namreč vse stranke pred volitvami v ta namen prejmejo podatke o vseh volivcih, teh pa ne smejo posredovati tretjim osebam...
Genialno res. Torej ustanoviš neko partijo in ti morajo izročiti podatke o vseh volivcih. Čemu pa to služi? Hodijo kot jehove priče strankarski veljaki v Izraelu door to door?
To je pač tako, ko daš lisici (politični stranki) za čuvat jajca (osebne podatke volivcev).
Nak.
Lisica bi jih pojedla in se obliznila.
Tukaj pa so klovni žonglirali z jajci, pri tem pa tvegali, da vsa popadejo na tla in se razbijejo (podatki odtečejo...).
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)
Ljudje pa še vedno mislijo, da je programerjev preveč.
Šalabajzerjev vsekakor.
Mislil si teh šalabajzijev ki imajo veze in delajo za Državo, isto kot je bil FMC in je SRC še danes, samo ne mečemo več 300 mil eur letno za IT, kar je napaka pomojem, če bi odšteli prisklednike omenjene prej.
Ljudje pa še vedno mislijo, da je programerjev preveč.
Šalabajzerjev vsekakor.
Mislil si teh šalabajzijev ki imajo veze in delajo za Državo, isto kot je bil FMC in je SRC še danes, samo ne mečemo več 300 mil eur letno za IT, kar je napaka pomojem, če bi odšteli prisklednike omenjene prej.
Objavljeni podatki so vsebovali polna imena, številke osebnih izkaznic, naslove in spol volivcev, ob tem pa še ime očeta in matere, telefonsko številko in še nekatere druge podrobnosti. Skratka, vse.
Ampak recimo skoraj vse od tega je objavljeno tudi v telefonskem imeniku Slovenije. Z nekaj dodatnega programja lahko izluščiš in povežeš še ostale podatke, ki tam manjkajo. Saj je šlamparija, ampak ne vidim kako bi objava takih podatkov zatresla temelje sveta. Nekaj drugega bi bilo, če bi zraven pisalo še koga so volili nazadnje ali pa kakšne bolezni imajo, skratka, nekaj bolj osebnega kot TIS podatki.
Objavljeni podatki so vsebovali polna imena, številke osebnih izkaznic, naslove in spol volivcev, ob tem pa še ime očeta in matere, telefonsko številko in še nekatere druge podrobnosti. Skratka, vse.
Ampak recimo skoraj vse od tega je objavljeno tudi v telefonskem imeniku Slovenije. Z nekaj dodatnega programja lahko izluščiš in povežeš še ostale podatke, ki tam manjkajo. Saj je šlamparija, ampak ne vidim kako bi objava takih podatkov zatresla temelje sveta. Nekaj drugega bi bilo, če bi zraven pisalo še koga so volili nazadnje ali pa kakšne bolezni imajo, skratka, nekaj bolj osebnega kot TIS podatki.
številke osebnih izkaznic
Tole nisi priblizno ne dobis v imeniku. Tudi povezave mati/oče is TISa ne dobiš brez dolgoletnega scrapinga (da bi si naredil timeline). Za večino prebivalstva pod 40 let pa tudi z tem ne, saj večina ljudi ni več v telefonskem imeniku.
Tole nisi priblizno ne dobis v imeniku. Tudi povezave mati/oče is TISa ne dobiš brez dolgoletnega scrapinga (da bi si naredil timeline). Za večino prebivalstva pod 40 let pa tudi z tem ne, saj večina ljudi ni več v telefonskem imeniku.
Če vključiš Facebook lahko dobiš manjkajoče povezave, brez št. osebne izkaznice, a z nepregledno goro ostalih, resnično osebnih, podatkov. Še enkrat, gre za šlamparijo, na vidim pa kako bo tole zatreslo temelje sistema.
V Izraelu namreč vse stranke pred volitvami v ta namen prejmejo podatke o vseh volivcih, teh pa ne smejo posredovati tretjim osebam...
Genialno res. Torej ustanoviš neko partijo in ti morajo izročiti podatke o vseh volivcih. Čemu pa to služi? Hodijo kot jehove priče strankarski veljaki v Izraelu door to door?
To tud men ni jasn. To je tko k da bi dal farmacevtskim podjetjem seznam bolnikov da se lahko okoristijo.
Tudi iz tega spiska jih ne moreš dobiti, ker so tam "Objavljeni podatki so vsebovali polna imena, številke osebnih izkaznic, naslove in spol volivcev, ob tem pa še ime očeta in matere, telefonsko številko in še nekatere druge podrobnosti. Skratka, vse." Skratka, 90% tega kar je v telefonskem imeniku.
V Izraelu namreč vse stranke pred volitvami v ta namen prejmejo podatke o vseh volivcih, teh pa ne smejo posredovati tretjim osebam...
Genialno res. Torej ustanoviš neko partijo in ti morajo izročiti podatke o vseh volivcih. Čemu pa to služi? Hodijo kot jehove priče strankarski veljaki v Izraelu door to door?
To tud men ni jasn. To je tko k da bi dal farmacevtskim podjetjem seznam bolnikov da se lahko okoristijo.
Dobro desetletje tega sem bral članek (no, bolj kolumno) nekega prof. dr. Gamsa (ki je menda tatamata na IJS-ju), ki se je zgražal, kako zaostala država smo, ker še nismo (in ker nočemo) uvesti enotne kartice vsakega državljana, na kateri bi bile združena osebna, zdravstvena, vozniška, pametna kartica z osebnim certifikatom... in še kaj.
Zapisal je tudi trditev, da zlorab ne bo, jih ne more biti, in da ni nikjer bilo še nobene zlorabe takšne kartice. Oh, wait...
davčne številke, emšota ipd. ne moreš kar tako dobit
Ne vemo, ker ne podajajo vseh podrobnosti. Ampak ok, morda res ne. Kljub temu pa spisek imen z naslovi in imeni staršev in telefonskimi številkami? Ne vem kako je z večino ljudi, sam nimam nobene svoje številke objavljene v telefonskem imeniku.
Biseri...
PS: MENSA klub ST, obvoz. ŠIC! Ne zanimajo me vaše neštetokrat reciklirane
neumnosti.
Uvedba takšne kartice odpira pot morebitnim zlorabam analogno kot primer iz te novice, kjer so vsaki politični stranki "kar tako, ker nima kaj biti" predali osebne podatke vseh volivcev.
In zadeva nima absolutno nič z "ena kartica za vse je slaba". Razen v primeru, da bi za vse tudi isti ključ uporabil (pa še to tista kartica ne počne). Še to je vprašanje.
Primer pa je itak "predlani se je ena Fiat Panda ponesrečila, zato je uporaba vozil nesmiselna in nevarna!"
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Primera sta ena taka "dajmo omejitev hitrosti za tovornjake in avte ukinit, ker so vozila na štiri kolesa varna in nima kaj bit". No zdaj pa je... nekaj.
