Заштитите си ги податоците, бидејќи .мк компаниите нема да го направат тоа за вас!

1.8 гигабајти лични податоци!

Буквално треба само да впишете име во Google и ќе добиете пристап до 8.000 документи со купишта доверливи податоци за корисниците: телефонски броеви, адреси, датуми на раѓање…

Токму поради лесниот пристап до стигнување на овие податоци нема да објавиме која компанија стои зад овој пропуст бидејќи со тоа ќе се отвори и можност да се наштети на корисниците.

Ја контактиравме компанијата, ни кажаа дека е грешка во некоја надоградба на сајтот, и за еден ден ја закрпија грешката. Но, Google веќе ги има искеширано страните, односно тие се достапни се додека пребарувачот не ги отстрани.

Факт е дека секоја компанија која се бави со лични податоци на корисници кои се закачуваат на Веб, мора да направи тестирање и проверка на потенцијални грешки при секое надградување и поправање на сајтот пред воопшто да ја стартува надградбата во живо, односно онлајн.

Што ќе се случеше ако не ја исконтактиравме компанијата и да и посочиме на грешката која се поправи само со -Indexes (грешката е што беше овозможено Directory Listing)? Податоците ќе стоеја на отворено за секој да има пристап до нив? Компанијата дури моравме да ја исконтактираме директно, преку лични мејлови на вработени кои ги познаваме, бидејќи не одговорија на првичната порака испратена преку контакт формата која им е поставена на нивниот сајт.

Дополнително, .мк сајтот нема Полиса за приватност. Полисата е задолжителна за секоја сериозна компанија која се бави со кориснички податоци и која ги складира истите на Веб. Полиса за приватност е потребна да им гарантира на корисниците дека нивните податоци ќе бидат зачувани, односно дека компанијата презема одговорност за корисничките податоци.

Застрашувачки е што само 49 од над 14.000 .мк сајтови имаат Полиса за приватност, како што покажа истражувањето на Метаморфозис фондацијата.

Време е .мк и .gov.mk сајтовите да ја сфатат сериозно безбедноста

Сакам да бидам како LulzSec!

Исто, само пред неколу дена, black-hat хакерот Neo Sec објави податоци кои ги украл од сајт на друга македонска компанија. Тој ги објави податоците на Веб за потоа да ги тргне, но веруваме дека многу луѓе имаа пристап до тие податоци бидејќи беа објавени во PasteBin, сервис каде е потребно само да се copy-paste документ и да се соберат сите информации.

Листата содржеше скоро над 1.000 кориснички податоци кои вклучуваа имејл, md5 hash-ирана лозинка и телефонски број. Сигурни сме дека лозинките и имејловите не се совпаѓаат, се чини фали корисничкото име, но сепак, заедно со телефонскиот број, откриваат многу за корисникот.

Тоа што е интересно во случајот е што хакерот е мотивиран од LulzSec и го прави ова „за забава“.

„I translate this and i will say: Why LulzSec hack sony?…. BTW i hack ** for fun! but i will not publish anymore!!! NEVER, but write a text in it.com.mk … I hack ** with SQL Injection! Greetz”, вели Neo Sec, кој потврди дека е од Kosova Hackers Group. кој се сомневаме дека е од Македонија и покрај што ни одговари на англиски.

Пробивање во сајт со намера да откриеш лични податоци е криминално дело, кражба.

Но, исто така, .мк компаниите мора сериозно да си ја сфатат работата и да си ја превземат одговорноста. Како што се повеќе го користат „облакот“, односно Вебот при работа и при складирање и споделување кориснички информации, така се повеќе ќе треба да превземат одговорност и грижа за корисничките податоци со кои располагаат.

(тестот е напишан во соработка со Zero Science Lab)

Добивај известувања
Извести ме за
guest
11 Коментари
Најнови
Најстари Со највеќе гласови
Inline Feedbacks
View all comments
Буре Барут
Буре Барут
10 years ago

А бе да се во прашање броеви од кредитни картички, или некои лозинки од тешко достапни места на пример па да разберам да се дига галама, ама не разбирам што се палите ако некој украл од некој сајт лични податоци или цело CV ! Па има еден куп начини со мала скрипта да собереш од нет илјадници лични податоци за 5 мин., од јавно објавени податоци, а да не зборам од социјалните мрежи и други мрежи. Со една скрипта и на http://imenik.telekom.mk ќе соберете стотици илјади лични податоци ! А ако ти требаат сите CV-a од vrabotuvanje.com.mk можеш кога сакаш да се претставиш како работодавач за некоја работа и да ги добиеш сите CV-a.
Значи, ако веќе пишувате дека некој неможе да ви ги заштити податоците, пишувајте за телеком !!! Таму мора да плаќаш за да не ти ги објават личните податоци !!!

Gorco
Gorco
10 years ago

Објавување на лични податоци во телефонски именици од страна на телекомуникациски операторИ во МК е стриктно по твоја согласност, согласно закон,… погледни во договорот и ќе видиш дека си се сложил за таа објава.

Решение е да си поднесеш барање за необјавување на лични податоци веднаш по потпишувањето на договорот, право кое ти е гарантирано со закон! А за плаќање, некаде од јануари 2011, со закон е забрането да се наплаќа за не објавување на лични податоци.

Анонимен
Анонимен
10 years ago

Не постојат такви компании доколку не се објават нивните имиња. Се тоа е маркетиншки трик на It.com.mk.. Катастрофа

dimitar
dimitar
10 years ago

Сеуште стои фајлот на pastebin(или копија).

Jas
Jas
10 years ago

Фала на информацијата.
А другата компанија која е? Две се вели во текстот.

чкљ Ацев
10 years ago
Reply to  Jas

Е тоа не знам.. но ако дознам ќе бидите информирани.. :D

...
...
10 years ago

"Буквално треба само да впишете име во Google и ќе добиете пристап до 8.000 документи со купишта доверливи податоци за корисниците: телефонски броеви, адреси, датуми на раѓање…"

Ova e how to ? :D

Neven Pejkov
Neven Pejkov
10 years ago

od bezbednost na internet, do strucnosta na mediumi, do strucnjaci za bezbednot se e to BORANIJA! Odgovornosta treba da ja prevzeme kompanijata od koja protekle podatocite i istata da si bara odgovornost od "strucnite" kompanii koi gi implementirale resenijata, bidejki tuka kvalitetnite rabotat za 10e/sat max, a enterprise kompaniiete gi dupnavme od ranenje so nasi pari. HAVAI madammmmmmmmmmmm

Jas
Jas
10 years ago

Патем, се додека не се објави името на компанијата со факти, текстов е само уште една добра читуља и маркетинг оглас.
Пазете ги податоците.
Океј.

Jas
Jas
10 years ago

Чекај, сериозни сте????
Нема да ја објавите компанијата бидејќи може да се наштети на корисниците?
Вие ПОМАГАТЕ да се наштети на корисниците на таа компанија штом не им кажувате дека нивните податоци се лесно достапни на интернет.
Бог да чува и да брани, што луѓе ќе бевме. Секаде во светот се прави обратно.

Виктор
10 years ago
Reply to  Jas

„Секаде во светот се прави обратно.“ Точно, но имаме причина зошто донесовме таква одлука. Секаде во светот компанијата објавува блог пост со објаснување за што се случило, со предупредување на пропустот . Види Sony, DropBox, Gawker Media… Но не пред да се тргнат тие податоци и не пред да се обезбеди дека корисниците не се заштитени. Одговорноста лежи кај компаниите пред се.

Не можам да објавам кој е бидејќи треба ти само да отидеш на Google и си завршил работа. Во другиот случај се работи за хакер, пола сајтови во Македонија ќе попуштат ако некој ги пробие, и сега тоа значи дека треба да ги именувам сите кои се со пропусти. Има .gov.mk сајтови кои имаат пропусти. Зарем треба да им кажеме ете ти сајт оди среди го укради што сакаш?

Македонските компании и .gov.mk сајтови се доволно несигурни да заштитат податоци, за разлика од западните сајтови кои барем се грижат за безбедноста, па нивно криење колку и да е зло е можеби и решение! Насловот кажува доволно. Aко ги идентификуваме ќе значи дека некој ќе може да ги украде податоците пак и пак и пак …

Виктор (системот за коментирање зеза за да се логирам со FB/Twitter)