Spomladansko čiščenje slovenskih Internetov se nadaljuje
Na konferenci Hek.si, ki je potekala konec prejšnjega meseca, smo predstavili nekaj ranljivosti, ki so bile odkrite v začetku tega leta in o katerih smo poročali tudi na tem portalu. Osnovno sporočilo predstavitve je bilo, da je z nekaj malega iskanja oz. tim. “Google hackinga” na slovenskem spletu mogoče najti številne varnostne ranljivosti, zaradi katerih so ogroženi številni osebni podatki. In to kljub temu, da je v lanskem letu okrog GDPR vladala prava histerija, ki so jo pomagale ustvarjati in jo tudi izkoriščale predvsem nekatere odvetniške družbe, ki so seveda dobro služile z urejanjem dokumentacije, pisanjem pravilnikov in pripravo soglasij za obdelavo osebnih podatkov. Podjetja so nato varstvo osebnih podatkov dodobra uredila na papirju, da bi se pravila udejanila v praksi, pa nihče ni kaj dosti razmišljal.
Tokrat tako nadaljujemo s spomladanskim čiščenjem slovenskih Internetov.
Univerza v Mariboru
Kot nas je obvestil eden izmed bralcev portala Slo-Tech.com, je bilo na spletni strani Univerze v Mariboru mogoče najti poročila o praktičnem izobraževanju študentov.
Poročila so vsebovala osebne podatke študentov, poleg imena in priimka študenta ter smeri študija tudi vpisno številko ter kontaktne podatke (e-pošto in telefon):
Informacijo o tem smo sredi marca posredovali Informacijskemu pooblaščencu in na SI-CERT. Kmalu po tem je bil dostop do vsebine onemogočen.
Poslovni podatki na spletu
Kot nas je opozoril bralec portala Slo-Tech.com, je bilo z vpisom številke transakcijskega računa Zavarovalnice Triglav v spletni brskalnik (SI56051008000104170) mogoče najti tudi nekaj zadetkov na spletni strani mesec.org. Gre za spletno stran manjšega slovenskega podjetja.
Na tej spletni strani, oziroma na podstraneh tega strežnika, je bilo mogoče najti različne bančne izpiske tega podjetja za več let. Z vpisom nekoliko drugačnega iskalnega niza je bilo mogoče najti še več izpiskov.
Primer bančnih izpiskov za leto 2018:
Primer izpiska iz leta 2013:
Primer izpiska iz leta 2017:
Kot kaže, je lastnik spletišča na spletni strežnik pomotoma (?) odložil nekaj arhivskih datotek. In pri tem pozabil, da bodo preko spleta dostopne vsakomur.
Podoben je tudi primer spletne strani Kuponko.si, kjer je bilo mogoče videti PDF račune strank. Sicer (na prvi pogled) ni bilo videti, da bi omenjeni dokumenti vsebovali kakšne varovane osebne podatke, je pa vsekakor šlo za poslovno dokumentacijo interne narave, ki je bila javno dostopna.
Primer računa:
Informacije o obeh najdenih varnostnih incidentih smo posredovali na SI-CERT. Iz SI-CERT-a so nam kasneje sporočili, da so upravljavce spletišč o zadevi obvestili ter da je napaka odpravljena.
Osebni podatki članov društva
Zanimiv je tudi primer Društva psihologov Slovenije, kjer je bil v širni splet odprt imenik za nalaganje datotek na strežnik:
Datoteke, ki so jih člani društva posredovali preko spletne strani, so vsebovale številne osebne podatke, v vsaj enem primeru celo podatke o zdravstvenem stanju.
Tako smo lahko preko spletne strani dps.si videli potrdilo o zaključku študija…
…naslednji dokument pa je bilo potrdilo Zavoda za zaposlovanje o vpisu iste osebe v evidenco brezposelnih oseb:
Podaljšanje statusa študenta/tke zaradi zdravstvenih razlogov:
Potrdila o plačilu članarine (vidni so bili bančni podatki):
Informacije o obeh najdenih varnostnih incidentih smo sredi marca posredovali na SI-CERT in IP-RS. Iz SI-CERT-a so nam nekaj dni kasneje sporočili, da so jih upravljavci spletišča obvestili, da je napaka odpravljena.
Javno dostopen arhiv spletne strani
Ob pripravi članka smo povsem slučajno naleteli tudi na arhivsko kopijo MySQL baze spletišča IPMIT.si. Kot kaže, so upravljalci spletne strani kopijo baze (tim. MySQL dump) shranjevali kar v javno dostopno mapo /backup.
Videti je, so upravljalci strani sami sprevideli napako in mapo že umaknili s spleta, pozabili pa so na to, da je vsebina še vedno delno dostopna v Googlovem predpomnilniku.
Naj omenimo, da se v tovrstnih MySQL arhivskih datotekah navadno nahajajo tudi različni občutljivi podatki (npr. uporabniška imena in gesla za dostop do spletišča), vendar v danem primeru preko Googlovega iskalnika ni (več?) mogoče videti kakšnih koli občutljivih informacij. Vidi se zgolj obstoj mape in arhivskih datotek.
Informacije o obstoju arhiva na IPMIT.si nismo posredovali nikomur, saj je problem očitno že odpravljen oziroma javno niso dostopni nobeni občutljivi podatki.
Ključne besede: varnost