Gost autor| IT

Neovlašćeno objavljeni podaci ličnosti za 5 miliona građana

uros_vozdovac RSS / 15.12.2014. u 11:57

Gost autor: Share Conference

Tekstualna baza sa podacima o ličnosti 5 190 396 građana Srbije, uz više od 4 000 finansijskih dokumenata (ukupno preko 19 gigabajta sadržaja), bila je tokom protekle nedelje javno dostupna na zvaničnom sajtu Agencije za privatizaciju Republike Srbije, utvrdila je SHARE Fondacija.

Analizom je utvrđeno da su podaci 5 190 396 građana zapravo podaci iz evidencije nosilaca prava besplatnih akcija koju vodi Agencija za privatizaciju. Veličina tekstualne baze sa podacima o ličnosti je 1,22 gigabajta, što predstavlja ogromnu količinu podataka o ličnosti koji su ostavljeni tako da svako može da im pristupi, preuzme ih i potencijalno zloupotrebi. Bazi sa ličnim podacima je bilo moguće pristupiti na sledećem linku: http://www.priv.rs/upload/company/contract/BES/dump_web_prijave_10062013.txt.

Pošto baza kompromituje podatke više od 5 miliona ljudi, nismo želeli da alarmiramo javnost dok baza ne bude uklonjena sa Interneta. Stoga smo obavestili Kancelariju Poverenika za informacije od javnog značaja i zaštitu podataka o ličnosti, koja je hitno reagovala povodom ovog slučaja. Pristup bazi je onemogućen u petak, 12. decembra tokom popodnevnih časova, nakon što su prikupljeni dokazi i o svemu obaveštena Agencija za privatizaciju.

Ukoliko ste građanin Srbije i 2008. godine ste se prijavili za besplatne akcije, vaši podaci su kompromitovani. U nastavku možete videti izgled dela baze:

1.jpg

Analizom je utvrđeno da baza sadrži različite podatke o 5 190 396 građana Srbije i to:
ime
prezime
srednje ime
jedinstveni matični broj građana (JMBG)
status građanina u evidenciji nosilaca prava na besplatne akcije (poslednja kolona)

2.jpg

Važno je napomenuti da je na osnovu predstavljenih podataka moguće utvrditi sledeće informacije o određenoj ličnosti:

datum rođenja
mesto rođenja
starost
pol

Značaj ovih podataka se između ostalog ogleda i u činjenici da svaki korisnik Interneta na osnovu JMBG može potencijalno pretraživati druge javne elektronske baze kako bi došao do dodatnih podataka. Takođe, ukoliko neko sazna vaš JMBG, može da se prijavi na različite javne ili privatne elektronske servise koristeći vaš identitet.

Pored direktnog korišćenja ovih podataka, moguća je zloupotreba i socijalnim inženjeringom. Ponekad je dovoljno pozvati neku kompaniju sa kojom imate ugovor i dajući samo ime, prezime i JMBG možete zahtevati dodatne usluge ili ukidanje pojedinih usluga. U pogrešnim rukama, ovi podaci mogu da dovedu do masovne krađe identiteta građana, usled čega će državni organi i privreda morati da preduzmu adekvatne mere kako ne bi došlo do ozbiljnih posledica za građane čiji su podaci kompromitovani.

Interesantno je da se link ka bazi slobodno razmenjivao na Tviteru, gde su ga saradnici SHARE Fondacije uočili. Iako smo prvo pomislili da je možda neko iz same Agencije neovlašćeno dostavio ovaj link nekom, te da ga je ta osoba potom podelila na društvenim mrežama, ispostavilo se da je baza bila pretraživa na pretraživaču Google i da je izgleda svako ko je ukucao svoj matični broj, a prijavio se 2008. godine za besplatne akcije, bio u mogućnosti da slobodno i bez ograničenja pristupi ovoj stranici.
3.jpg

Ako ste se prijavili za besplatne akcije, mogli ste da ukucate svoj matični broj u Google i kao rezultat pretrage biste dobili link ka ovoj bazi.

Za sada nismo upoznati da li je u pitanju neka vrsta bezbednosnog napada ili neprihvatljiva greška zaposlenih u Agenciji, ali smo sigurni da je ovo najveći bezbednosni propust u sferi zaštite informacionih sistema i privatnosti građana koji se desio u novijoj istoriji Srbije. Izvesno je da više niko nije u mogućnosti da odgovori na sledeća pitanja:

Ko je sve došao u posed baze koja sadrži lične podatke 5 190 396 građana Srbije?

Ko je sve došao u posed više od 4 000 drugih dokumenata (ukupne veličine 19 GB) koji pretežno predstavljaju poslovne i finansijske podatke preduzeća u restruktuiranju?

Na koji način će ih (zlo)upotrebiti?

Zabrinjavajuće je da građani trenutno ne znaju koje sve javne institucije prikupljaju njihove podatke, koji se podaci prikupljaju i obrađuju, gde se ti podaci čuvaju, na koji način su zaštićeni, ko tačno ima pristup tim podacima i za koje svrhe (mediji tvrde da više od 300.000 institucija rukuje ličnim podacima građana).

Istraživanjem vlasništva nad IP adresom na kojoj je objavljena ova baza, ustanovljeno je da su se podaci nalazili na serveru na “Veratovoj” mreži. Međutim, nije moguće sa sigurnošću utvrditi u čijem je server posedu. U svakom slučaju, propust koji se dogodio je verovatno na nivou administratora platforme (web stranice) a ne administratora servera ili hosting provajdera.

Nadamo se da će postupak koji je pokrenuo Poverenik otkriti sve aspekte ovog bezbednosnog propusta kako bi se utvrdila odgovorna lica, ali i podigla svest kod zaposlenih u javnom sektoru o odgovornosti za podatke o ličnosti koje čuvaju.

Ukoliko se ispostavi da državni organi nemaju potrebe za spomenutom bazom podataka o ličnosti koja je u posedu SHARE Fondacije, baza će biti izbrisana i neće biti ustupljena trećim licima, niti će na bilo na koji način biti zloupotrebljena od strane Fondacije u skladu sa našom Politikom privatnosti.

Upozoravamo sve koji su eventualno došli do baze sa ličnim podacima građana Srbije da svaka dalja upotreba, preprodaja i ustupanje može biti osnov za krivičnu odgovornost po osnovu  krivičnog dela “Neovlašćeno prikupljanje ličnih podataka” (čl. 146 Krivičnog zakonika).

Privatnost za slabe, transparentnost za moćne

Državni organi prikupljaju veliku količinu različitih podataka, uključujući i podatke o ličnosti, od onih osnovnih do vrlo osetljivih, kao što su podaci o zdravlju, obrazovanju, finansijskom stanju itd. Ovi podaci se čuvaju u informacionim sistemima, što znači da su lako pretraživi i dostupni “ovlašćenim” licima. I pored toga što Zakon o zaštiti podataka o ličnosti podjednako važi i za privatni i za javni sektor, implementacija Zakona je izgleda na mnogo lošijem nivou u javnom sektoru. Javne institucije obično nemaju potrebne procedure kojima bi zaštitile naše lične podatke, niti dovoljno znanja i resursa da bi uspostavili adekvatne bezbednosne mere i svoje poslovanje uskladili sa regulativom.

Zabrinjavajuće je da građani trenutno ne znaju koje sve javne institucije prikupljaju njihove podatke, koji se podaci prikupljaju i obrađuju, gde se ti podaci čuvaju, na koji način su zaštićeni, ko tačno ima pristup tim podacima i za koje svrhe (mediji tvrde da više od 300.000 institucija rukuje ličnim podacima građana). Kako se naročito od početka 21. veka podaci smatraju važnim ekonomskim resursom, nedostatak transparentnosti ograničava odgovornost javnih institucija i omogućava korupciju, posebno u državnim institucijama koje čuvaju osetljive i tržišno vredne podatke ili donose odluke o građanskim pravima automatskom obradom ličnih podataka.

Propusti državnih organa poput ovog moraju biti ispravljeni u što kraćem roku i odgovorna lica moraju snositi pravne posledice u skladu sa Krivičnim zakonikom i Zakonom o zaštiti podataka o ličnosti. Takođe je neophodno što pre preuzeti sve neophodne korake kako bi se podaci građana zaštitili najvišim merama tehničke i organizacione zaštite.

SHARE Fondacija će nastaviti da nadzire usklađenost rada javnih i privatnih rukovalaca podacima o ličnosti sa zakonima i ostalim propisima u ovoj oblasti, kako bi obezbedila zaštitu privatnosti za slabe i transparentnost za moćne.
 

Za svaki slučaj da  dodam  Share foundation Privacy policy



Komentari (104)

Komentare je moguće postavljati samo u prvih 7 dana, nakon čega se blog automatski zaključava

Hansel Hansel 15:57 16.12.2014

Re: Kad smo već kod zaštite JMBG-a

inco
Što se tiče ovog specifičnog 'problema' moram malko sad da seirim nad onima što su me terali da idem da se upisujem za tu glupost. Po stranu moje ideološko protivljenje konceptu (ako se dobro sećam, zvao sam to saučešćem u krađi) ali svako ko je mislio da će od toga dobiti više nego što je mogao da zaradi za vreme koje je proveo čekajući u redu da se upiše ima ozbiljan problem sa ekonomskom pismenošću. Tačnije - ne poseduje ni naznake iste. Sudeći po svemu, pet i kusur miliona stanovnika Srbije spada u takvu kategoriju što dosta toga govori, naročito zašto je srpska ekonomija u teškom čabru.

Не знам ко је колико чекао у реду (ја сам своје акције уписао када није било редова, или сам вребао тај тренутак -- прођем поред Поште, па кад није ред ја обавим шта треба да обавим, као и увек што радим -- па нисам утрошио више од 10-15 минута) и ко је шта очекивао (нисам очекивао ни четвртину од хиљаду евра, а и то је било преоптимистично), али до сада су они који су их уписали могли да добију на руке око 7 хиљада динара. Ако је неко само за то чекао сат времена у реду (а требало би да у будућности буде још неких, коликих год пара), не знам ко би у Србији (част изузецима) могао да за сат времена заради 50-60 евра (зависно од курса у тренутку продаје или уплате новца из Акционог фонда).

Друго, шта је крађа у целом том концепту делимично (наглашавам: делимично, јер проблем је много шири) може да ти илуструје овај прилог (занемари првих неколико реченица, потичу из претходног прилога у том магазину, сечено је примитивним видео сплитером):

gavrilo1 gavrilo1 15:08 16.12.2014

cao Urose

Imas preporuku za blog

EPP

Treba mi blogerski prostor za eksperiment, bicu fin
Ko je zainteresovan da me udomi neka se javi
uros_vozdovac uros_vozdovac 17:48 16.12.2014

Re: cao Urose

kod mene je svako rado viđen gost, ako nije kasno posle 21 sam kraj mog kompjutera tad možemo sve.

Šibni detalje na privatne poruke, ako s nieko nije javio do sad, bio sam na putu nema me ceo dan na blogu :(
gavrilo1 gavrilo1 18:36 16.12.2014

Re: cao Urose

I da se javi odbio bih, ko moze odoleti ovakvom brzom odgovoru i pozivu...msm

Arhiva

   

Kategorije aktivne u poslednjih 7 dana