Objavljeno:

Javno dostopni računi strank spletne trgovine

Spletna stran Proteini.si je spletno mesto, kjer je mogoče kupiti športno prehrano in dodatke k prehrani. Kupovanje je seveda enostavno, in poteka preko spleta.

Žal pa je imelo tudi to spletno mesto težave z varovanjem podatkov svojih strank.

Kot je namreč v komentarjih na novico o dostopnosti zdravstvene dokumentacije pacientov SB Izola na spletu opozoril eden izmed uporabnikov portala Slo-Tech.com, so bili na na spletišču “http://izpis.proteini.si/” (spletna stran je v tem času delovala samo na nešifrirani HTTP povezavi) dostopni računi izdani strankam njihove spletne trgovine.

Naj dodamo, da smo takoj po omenjeni objavi na Slo-Techu o incidentu obvestili tako Informacijskega pooblaščenca, kot tudi SI-CERT, moderatorji na Slo-Tech.com pa so objavo (začasno) izbrisali, da bi s tem preprečili nastajanje dodatne škode.

Objava uporabnika na Slo-Tech.com

Objava uporabnika na Slo-Tech.com.

Iz objave je razvidno da so bili izdani računi v PDF obliki prosto dostopni. Brskanje po strežniški mapi je bilo sicer onemogočeno, zato “na prvo žogo” ni bilo mogoče dobiti seznama vseh računov.

Vendar pa je bilo do seznama vseeno mogoče dostopati, in sicer tako, da smo spreminjali številke v imenu datoteke (npr. namesto “1-1-12645.pdf” bi zapisali “1-1-12644.pdf”, itd.).

Iz priloženih zaslonskih posnetkov je tako razvidno, da je bilo mogoče videti račune izdane pravnim in fizičnim osebam, pri čemer je bilo iz računov mogoče videti imena in naslove ter prebivališča fizičnih oseb, pa tudi katero blago so stranke kupovale in kdaj.

Primer objavljenega PDF računa

Primer objavljenega PDF računa.

Primer objavljenega PDF računa

Primer objavljenega PDF računa.

Primer objavljenega PDF računa

Primer objavljenega PDF računa.

Informacijski pooblaščenec je na posredovano prijavo reagiral izredno hitro (v manj kot pol ure), vendar pa so administratorji spletne strani proteini.si sporno vsebino med tem že umaknili s spleta. O varnostnem incidentu so upravitelja spletne strani Proteini.si v zelo kratkem času (manj kot pol ure) obvestili tudi s strani SI-CERT-a.

Na prošnjo Informacijskega pooblaščenca smo jim posredovali dokaze o obstoju kršitve.

Očitno je, da sta varovanje informacijske zasebnosti in informacijska varnost resen problem tako za javni, kot tudi za zasebni sektor v Sloveniji.

Kategorije: Informacijska tehnologija, Zasebnost
Ključne besede: varnost