Še več objav računov strank na internetu
Nenamerna objava osebnih podatkov ali zaupnih dokumentov na spletu je očitno kar velik problem, saj je z nekaj naključnega brskanja mogoče najti številne primere slovenskih spletnih trgovin, ki so na spletu omogočile objavo računov svojih strank.
Po objavi članka o dostopnosti računov strank podjetja Proteini.si nas je kontaktiral eden izmed bralcev ter nam posredoval tri naključno najdene povezave z objavljenimi računi z osebnimi podatki kupcev.
Istrski-maraton.si
Na spletni strani Istrski-maraton.si, ki uporablja Wordpress platformo, je bilo v “uploads” mapi mogoče videti PDF predračune kupcev njihovih artiklov:
Primeri predračunov strank, ki so vsebovali osebne podatke:
Kidstar.si
Tudi spletna stran Kidstar.si uporablja Wordpress platformo, in tudi v tem primeru so bili PDF računi kupcev njihovih artiklov vidni v mapi “uploads”:
Primeri dobavnic in računov strank:
Beko.si
Podobno stanje smo lahko našli tudi na spletni strani Beko.si, le da je bilo tam na voljo precej več podatkov:
Na spletu je bilo mogoče najti račune, izdajnice, dobavnice,..
Se nadaljuje…?
Kot rečeno je z nekaj spretnosti pri iskanju mogoče najti še številne druge primere pomotoma javno objavljenih zaupnih podatkov - tako v Sloveniji, kot tudi v svetu.
Do tega prihaja predvsem zato, ker upravljavci spletnih mest del kiberprostora dojemajo kot zasebnega, čeprav je v resnici morda javen. Razmejitev med javnim in zasebnim v kiberprostoru je namreč pogosto odvisna od (zapletene) konfiguracije strežnikov in požarnih zidov, slabo plačani ali neizkušeni izvajalci pa pri tem hitro storijo napako.
Hekerji seveda dobro vedo, da je tako napačno dojemanje kiberprostora, oziroma napake upravljavcev spletnih mest, mogoče s pridom izkoristiti. Tehnike iskanja dokumentov na javnih strežnikih so hekerji pričeli uporabljati že konec 1990-tih let, iskanje zaupnih informacij in dokumentov s pomočjo spletnih iskalnikov (gre za tehniko znano pod imenom Google hacking), pa so varnostni raziskovalci javno predstavili že avgusta 2003.
Vse skupaj pa samo potrjuje dejstvo, da bi morala tako zasebna podjetja, kot tudi javni sektor več sredstev nameniti investicijam v varnost. In to že od faze načrtovanja informacijskih sistemov naprej.
Informacije o varnostnem incidentu smo včeraj posredovali Informacijskemu pooblaščencu, z objavo pa počakali do umika spornih vsebin s spleta.
Ključne besede: varnost