Na internetu ponovno najdeni občutljivi osebni podatki
Eden izmed bralcev nas je opozoril, da je na eni izmed spletnih strani Planinske zveze Slovenije dostopno večje število osebnih podatkov.
Spletna aplikacija je sicer na vstopni strani zahtevala prijavo, vendar je bilo zaradi napačnih nastavitev možno dostopati do ene izmed podstrani, kjer je bilo prosto dostopno večje število osebnih podatkov.
Konkretno, šlo je za osebne podatke 383 oseb, med drugim za imena in priimke, datume in kraje rojstva, EMŠO številke, naslove prebivališča in e-naslove…
Neprimerna zaščita neposrednega dostopa do URL naslovov je bila leta 2010 razglašena kot ena izmed deset najpogostejših napak spletnih aplikacij iz seznama OWASP Top 10. Kot kaže, je v letu 2020 še vedno precej aktualna.
Rešitev težave je v tem, da razvijalci spletne aplikacije ali sistemski administratorji za vsak URL omejijo dostop samo pooblaščenim uporabnikom oziroma za vsak URL preverijo omejitve dostopa.
Planinsko zvezo Slovenije smo na napako opozorili in po zadnjem preverjanju je napaka sedaj odpravljena, prav tako osebnih podatkov ni mogoče videti preko Googlovega medpomnilnika (Google Cache).
Ključne besede: varnost, osebni podatki, GDPR