Sreda, 13. 3. 2019, 11.48
5 let, 8 mesecev
Napaka znane slovenske trgovine: razkrita imena strank in njihovi nakupi
Termometer prikazuje, kako vroč je članek.
Termometer prikaže, kako vroč je članek.
9,33
Primer enega od izpolnjenih računov, ki so bili neznano dolgo prosto dostopni na spletu.
Na spletu so se prosto dostopni znašli podatki o strankah Proteini.si, ene največjih specializiranih slovenskih spletnih trgovin. Z zelo malo računalniškega znanja je bilo mogoče brskati po izpolnjenih naročilnicah, ki so razkrivala imena in priimke ter domače naslove strank trgovine s športno prehrano. Napaka je že odpravljena, verjetno pa jo je povzročila posodobitev programske opreme, so sporočili s Proteini.si.
Računi strank trgovine Proteini.si sicer niso bili dostopni prek mape na njihovem strežniku, kar bi omogočalo ogled poljubnega računa, temveč je bilo med njimi mogoče krožiti s spreminjanjem številke v imenu datoteke posameznega računa na spletišču http://izpis.proteini.si/”, je razkril tehnološki portal Slo-Tech.
Kdor si je želel ogledati naslednje naročilo, ki so razkrivala imena in priimke ter domače naslove strank in sezname izdelkov, ki so jih kupile, je moral spletni naslov, na katerem je bil shranjen račun, denimo http://izpis.proteini.si/1-1-12645.pdf zgolj spremeniti v http://izpis.proteini.si/1-1-12646.pdf.
Proteini.si je ena največjih in najbolj prepoznavnih specializiranih trgovin v Sloveniji. Na družbenem omrežju Facebook ji sledi skoraj 325.000 ljudi, strank pa nimajo le v Sloveniji, temveč imajo tudi močno prisotnost na Hrvaškem, v Srbiji in v Bosni in Hercegovini.
Podjetje Rolnet d.o.o., pod okriljem katerega deluje trgovina Proteini.si, je v letu 2017 ustvarilo več kot 10 milijonov evrov prihodkov in skoraj 630.000 evrov dobička.
Težavo naj bi povzročila nadgradnja programske opreme
Podatki o naročilih strank trgovine Proteini.si niso več dostopni, spletišče http://izpis.proteini.si/ namreč ne deluje več.
Kot so za Siol.net potrdili pri Proteini.si, so o napaki prejeli obvestilo s strani nacionalnega odzivnega centra za obravnavo kibernetskih incidentov SI-CERT. Zadevo so nato nemudoma posredovali razvijalcu programske opreme, ki je preveril delovanje celotnega sistema. Omenjene napake takrat ni bilo, zato predvidevajo, da je do nje prišlo pri nadgradnji programske opreme, ki je potekala v tem času.
Pri SI-CERT so vodstvu trgovine sicer priporočili takojšnje ukrepanje, ker bi lahko takšno uhajanje informacij pomenilo kršenje zakonodaje, ki obravnava varovanje osebnih podatkov.
Po arhivih izolske bolnišnice se je lahko prosto sprehajal vsak
Gre sicer že za drugi tak incident v tednu dni, o katerem je po prejemu informacij od zaupnih virov poročal Slo-Tech. V začetku tedna so namreč razkrili, da so bili na spletu prosto dostopni tudi podatki o pacientih Splošne bolnišnice Izola.
Te podatke je bilo najti preprosteje kot imena strank Proteini.si. Vse, kar je uporabnik moral storiti, je v spletni iskalnik vtipkati ime in priimek pacienta ter ključne besede "HIV SB Izola".
Preberite tudi:
