Matic Tomšič

Četrtek,
9. 2. 2017,
14.42

Osveženo pred

7 let, 1 mesec

Termometer prikazuje, kako vroč je članek.

Termometer prikaže, kako vroč je članek.

Thermometer Blue 1,73

Natisni članek

Natisni članek

heker informacijski pooblaščenec Ajpes

Četrtek, 9. 2. 2017, 14.42

7 let, 1 mesec

Napaka državne agencije, ki lahko ogrozi na tisoče Slovencev?

Matic Tomšič

Termometer prikazuje, kako vroč je članek.

Termometer prikaže, kako vroč je članek.

Thermometer Blue 1,73
Ajpes | Foto STA

Foto: STA

V spletno stran Agencije RS za javnopravne evidence in storitve (AJPES) lahko zaradi pomanjkljive zaščite vdre vsak z malce več računalniškega znanja in si postreže z osebnimi podatki več sto tisoč oseb, po poročanju spletnega portala Slo-Tech trdi anonimni vir. Informacijski pooblaščenec je zoper AJPES že uvedel inšpekcijski postopek. Pri AJPES medtem pravijo, da ranljivosti ni več.

Najbolj pregleden javni urad v Sloveniji

"AJPES postaja bolj pregleden, kot je bil v preteklosti. Lani zaradi skrbi glede varstva osebnih podatkov ni želel izdati nekaterih informacij, danes pa lahko vse podatke iz njihovih registrov vidi vsak, ki se malo bolj spozna na računalništvo," so se pošalili na spletnem portalu Slo-Tech.

Razlog za omenjeno "preglednost" je pomanjkljiva zaščita spletišča agencije RS za javnopravne evidence in storitve (AJPES). Portal Slo-Tech je pred kratkim namreč prejel anonimno obvestilo, da je mogoče z razmeroma preprosto hekersko tehniko, tako imenovanim SQL-vrivanjem, pridobiti podatke, ki sicer niso dosegljivi prek spletne strani agencije.

Spletna stran AJPES je bila pred kratkim prenovljena. | Foto: Matic Tomšič Spletna stran AJPES je bila pred kratkim prenovljena. Foto: Matic Tomšič

V celoti je dosegljivih vsaj 59 podatkovnih baz AJPES, ugotovitve neimenovanega vira navaja Slo-Tech. Gre za zbirke podatkov, v katerih so med drugim shranjeni podatki o transakcijskih računih, številkah EMŠO in davčnih številkah.

Samo z dostopom do poslovnega registra, ki ga Slo-tech našteva med podatkovnimi bazi, do katerih se lahko brez večjih težav prebije heker, je mogoče pridobiti informacije o okrog 200 tisoč zastopnikih pravnih oseb v Sloveniji.

Slo-Tech: AJPES je gledal, a ni našel ničesar

Pri agenciji RS za javnopravne evidence in storitve o morebitni ranljivosti njihovega spletišča ne vedo nič, poroča Slo-Tech. "V zadnjem obdobju smo izvedli več varnostnih pregledov, a nobeden ni pokazal tovrstne ranljivosti," so uredništvu Slo-Tech sporočili iz agencije.

AJPES: Napadli so nas strokovnjaki za informacijsko varnost, a brez skrbi

Iz Agencije RS za javnopravne evidence in storitve so nam medtem sporočili, da so njihovo spletišče na kulturni praznik v jutranjih urah organizirano napadli strokovnjaki za informacijsko varnost. Napad so izvedli z namenom opozarjanja institucij javnega sektorja na ranljivosti v programski opremi.

Ajpes | Foto: Ana Kovač Foto: Ana Kovač
Razvijalci in sistemski skrbniki spletne strani AJPES so incident opazili šele včeraj v popoldanskih urah in zakrpali varnostno luknjo, ki je omogočila napad, je za Siol.net pojasnil Marjan Babič, vodja službe za informacijsko tehnologijo na AJPES.

"Za zdaj nimamo pokazateljev, da bi se med napadom resnično zgodila kraja kakršnih koli podatkov," pravi Babič. "Vsekakor pa ranljivosti, prek katere se je zgodil napad, za dostop do naših baz podatkov ne more izkoristiti kar vsak uporabnik, saj je postopek za to zapleten in znan le ožjemu krogu računalniških strokovnjakov," je še pojasnil.

Babič je še dejal, da AJPES morebitne ranljivosti svojih spletnih aplikacij redno preverja z organizacijo zunanjih pregledov (načrtovanih internetnih vdorov). A pregledov vseh aplikacij še niso izvajali, ker jih pri tem omejuje proračun agencije.

Informacijski pooblaščenec: AJPES si tega ne more privoščiti

Urad informacijskega pooblaščenca so o ranljivosti spletnih strani AJPES obvestili v sredo. Takoj so uvedli inšpekcijski postopek zoper agencijo, o ranljivosti pa so obvestili tudi nacionalni odzivni center SI-CERT in zunanjega izvajalca agencije (podjetje, ki upravlja njihove spletne strani).

Informacijska pooblaščenka Mojca Prelesnik je za Siol.net dejala, da si takšne napake (omogočanje vdora s SQL-vrivanjem) ne bi smel privoščiti večji upravljavec zbirk osebnih podatkov, kot je AJPES.

Mojca Prelesnik: "Opozarjamo, da so predvsem upravljavci velikih zbirk podatkov in občutljivih podatkov dolžni zagotoviti ustrezno visoko informacijsko varnost, saj imajo lahko izkoriščene ranljivosti trajne in nepopravljive posledice za državljane, njihovo varnost in druge pravice. Najbolj znane ranljivosti spletnih strani so dobro znane oziroma dokumentirane. Veliki upravljavci zbirk osebnih podatkov ter njihovi pogodbeni razvijalci bi se jim morali izogniti". | Foto: Matej Leskovšek Mojca Prelesnik: "Opozarjamo, da so predvsem upravljavci velikih zbirk podatkov in občutljivih podatkov dolžni zagotoviti ustrezno visoko informacijsko varnost, saj imajo lahko izkoriščene ranljivosti trajne in nepopravljive posledice za državljane, njihovo varnost in druge pravice. Najbolj znane ranljivosti spletnih strani so dobro znane oziroma dokumentirane. Veliki upravljavci zbirk osebnih podatkov ter njihovi pogodbeni razvijalci bi se jim morali izogniti". Foto: Matej Leskovšek Prelesnikova je še opozorila, da bi lahko morebitna kraja informacij iz podatkovnih baz agencije vodila do kraj identitete in drugih vrst zlorabe osebnih podatkov.

SI-CERT: Zgodilo se ni še nič

Gorazd Božič, vodja nacionalnega odzivnega centra SI-CERT je v razpravi pod izvirnim člankom na portalu Slo-Tech medtem zapisal (uporabniško ime GBX), da še ni dokazov, da bi kdor koli že v resnici zlorabil ranljivost spletišča AJPES in iz podatkovnih baz ukradel podatke o Slovencih.