Šta je novo?

Neovlašćeno objavljeni podaci o ličnosti više od 5 miliona građana Srbije

Ninoslav

Slavan
Učlanjen(a)
07.11.2008
Poruke
2,775
Poena
405
Moja oprema  
Tablet
iPad Pro 11”
Mobilni telefon
iPhone 13 Pro Max
Pametni uređaji
Apple Watch
Pristup internetu
  1. Optički internet
Na sajtu Agencije za privatizaciju neovlašćeno objavljeni podaci o ličnosti 5 190 396 građana Srbije i preko 4 hiljade finansijskih dokumenata
Tekstualna baza sa podacima o ličnosti 5 190 396 građana Srbije, uz više od 4 000 finansijskih dokumenata (ukupno preko 19 gigabajta sadržaja), bila je tokom protekle nedelje javno dostupna na zvaničnom sajtu Agencije za privatizaciju Republike Srbije, utvrdila je SHARE Fondacija.

Analizom je utvrđeno da su podaci 5 190 396 građana zapravo podaci iz evidencije nosilaca prava besplatnih akcija koju vodi Agencija za privatizaciju. Veličina tekstualne baze sa podacima o ličnosti je 1,22 gigabajta, što predstavlja ogromnu količinu podataka o ličnosti koji su ostavljeni tako da svako može da im pristupi, preuzme ih i potencijalno zloupotrebi. Bazi sa ličnim podacima je bilo moguće pristupiti na sledećem linku: http://www.priv.rs/upload/company/contract/BES/dump_web_prijave_10062013.txt.

Ovaj slučaj ne treba vezivati za vesti o "hakerskim pretnjama" kojima su se mediji poslednjih nekoliko dana prilično bavili. U slučaju "srpskih hakera", po onom što se moglo videti, radilo se o mnogo manjem broju ličnih podataka čije poreklo je najverovatnije baza podataka "sigurnih glasača" neke od političkih stranaka.

Pošto baza kompromituje podatke više od 5 miliona ljudi, nismo želeli da alarmiramo javnost dok baza ne bude uklonjena sa Interneta. Stoga smo obavestili Kancelariju Poverenika za informacije od javnog značaja i zaštitu podataka o ličnosti, koja je hitno reagovala povodom ovog slučaja. Pristup bazi je onemogućen u petak, 12. decembra tokom popodnevnih časova, nakon što su prikupljeni dokazi i o svemu obaveštena Agencija za privatizaciju.

Ukoliko ste građanin Srbije i 2008. godine ste se prijavili za besplatne akcije, vaši podaci su kompromitovani. U nastavku možete videti izgled dela baze:

1.jpg


Analizom je utvrđeno da baza sadrži različite podatke o 5 190 396 građana Srbije i to:
ime
prezime
srednje ime
jedinstveni matični broj građana (JMBG)
status građanina u evidenciji nosilaca prava na besplatne akcije (poslednja kolona)

2.jpg


Važno je napomenuti da je na osnovu predstavljenih podataka moguće utvrditi sledeće informacije o određenoj ličnosti:

datum rođenja
mesto rođenja
starost
pol

Značaj ovih podataka se između ostalog ogleda i u činjenici da svaki korisnik Interneta na osnovu JMBG može potencijalno pretraživati druge javne elektronske baze kako bi došao do dodatnih podataka. Takođe, ukoliko neko sazna vaš JMBG, može da se prijavi na različite javne ili privatne elektronske servise koristeći vaš identitet.

Pored direktnog korišćenja ovih podataka, moguća je zloupotreba i socijalnim inženjeringom. Ponekad je dovoljno pozvati neku kompaniju sa kojom imate ugovor i dajući samo ime, prezime i JMBG možete zahtevati dodatne usluge ili ukidanje pojedinih usluga. U pogrešnim rukama, ovi podaci mogu da dovedu do masovne krađe identiteta građana, usled čega će državni organi i privreda morati da preduzmu adekvatne mere kako ne bi došlo do ozbiljnih posledica za građane čiji su podaci kompromitovani.

Interesantno je da se link ka bazi slobodno razmenjivao na Tviteru, gde su ga saradnici SHARE Fondacije uočili. Iako smo prvo pomislili da je možda neko iz same Agencije neovlašćeno dostavio ovaj link nekom, te da ga je ta osoba potom podelila na društvenim mrežama, ispostavilo se da je baza bila pretraživa na pretraživaču Google i da je izgleda svako ko je ukucao svoj matični broj, a prijavio se 2008. godine za besplatne akcije, bio u mogućnosti da slobodno i bez ograničenja pristupi ovoj stranici.

3.jpg


Ako ste se prijavili za besplatne akcije, mogli ste da ukucate svoj matični broj u Google i kao rezultat pretrage biste dobili link ka ovoj bazi.

Za sada nismo upoznati da li je u pitanju neka vrsta bezbednosnog napada ili neprihvatljiva greška zaposlenih u Agenciji, ali smo sigurni da je ovo najveći bezbednosni propust u sferi zaštite informacionih sistema i privatnosti građana koji se desio u novijoj istoriji Srbije. Izvesno je da više niko nije u mogućnosti da odgovori na sledeća pitanja:

Ko je sve došao u posed baze koja sadrži lične podatke 5 190 396 građana Srbije?

Ko je sve došao u posed više od 4 000 drugih dokumenata (ukupne veličine 19 GB) koji pretežno predstavljaju poslovne i finansijske podatke preduzeća u restruktuiranju?

Na koji način će ih (zlo)upotrebiti?

Istraživanjem vlasništva nad IP adresom na kojoj je objavljena ova baza, ustanovljeno je da su se podaci nalazili na serveru na “Veratovoj” mreži. Međutim, nije moguće sa sigurnošću utvrditi u čijem je server posedu. U svakom slučaju, propust koji se dogodio je verovatno na nivou administratora platforme (web stranice) a ne administratora servera ili hosting provajdera.

Nadamo se da će postupak koji je pokrenuo Poverenik otkriti sve aspekte ovog bezbednosnog propusta kako bi se utvrdila odgovorna lica, ali i podigla svest kod zaposlenih u javnom sektoru o odgovornosti za podatke o ličnosti koje čuvaju.

Ukoliko se ispostavi da državni organi nemaju potrebe za spomenutom bazom podataka o ličnosti koja je u posedu SHARE Fondacije, baza će biti izbrisana i neće biti ustupljena trećim licima, niti će na bilo na koji način biti zloupotrebljena od strane Fondacije u skladu sa našom Politikom privatnosti.

Upozoravamo sve koji su eventualno došli do baze sa ličnim podacima građana Srbije da svaka dalja upotreba, preprodaja i ustupanje može biti osnov za krivičnu odgovornost po osnovu krivičnog dela “Neovlašćeno prikupljanje ličnih podataka” (čl. 146 Krivičnog zakonika).

Privatnost za slabe, transparentnost za moćne

Državni organi prikupljaju veliku količinu različitih podataka, uključujući i podatke o ličnosti, od onih osnovnih do vrlo osetljivih, kao što su podaci o zdravlju, obrazovanju, finansijskom stanju itd. Ovi podaci se čuvaju u informacionim sistemima, što znači da su lako pretraživi i dostupni “ovlašćenim” licima. I pored toga što Zakon o zaštiti podataka o ličnosti podjednako važi i za privatni i za javni sektor, implementacija Zakona je izgleda na mnogo lošijem nivou u javnom sektoru. Javne institucije obično nemaju potrebne procedure kojima bi zaštitile naše lične podatke, niti dovoljno znanja i resursa da bi uspostavili adekvatne bezbednosne mere i svoje poslovanje uskladili sa regulativom.

Zabrinjavajuće je da građani trenutno ne znaju koje sve javne institucije prikupljaju njihove podatke, koji se podaci prikupljaju i obrađuju, gde se ti podaci čuvaju, na koji način su zaštićeni, ko tačno ima pristup tim podacima i za koje svrhe (mediji tvrde da više od 300.000 institucija rukuje ličnim podacima građana). Kako se naročito od početka 21. veka podaci smatraju važnim ekonomskim resursom, nedostatak transparentnosti ograničava odgovornost javnih institucija i omogućava korupciju, posebno u državnim institucijama koje čuvaju osetljive i tržišno vredne podatke ili donose odluke o građanskim pravima automatskom obradom ličnih podataka.

Propusti državnih organa poput ovog moraju biti ispravljeni u što kraćem roku i odgovorna lica moraju snositi pravne posledice u skladu sa Krivičnim zakonikom i Zakonom o zaštiti podataka o ličnosti. Takođe je neophodno što pre preuzeti sve neophodne korake kako bi se podaci građana zaštitili najvišim merama tehničke i organizacione zaštite.

SHARE Fondacija će nastaviti da nadzire usklađenost rada javnih i privatnih rukovalaca podacima o ličnosti sa zakonima i ostalim propisima u ovoj oblasti, kako bi obezbedila zaštitu privatnosti za slabe i transparentnost za moćne.

Izvor: http://www.shareconference.net/sh/d...i-o-licnosti-vise-od-5-miliona-gradana-srbije
 
Kad su na vlast uzjahali i Kurta i Murta...
Problem je sto ima ogroman broj nestrucnih ljudi koji barataju sa stvarima koje ne razumeju. Ovo je samo jedna od posledica visedecenijske negativne selekcije. Ocekujem da bude smena u toj agenciji, a da svi odgovorni zavrse na sudu.
U zadnjih nekoliko godina ovakve stvari su se desavale sirom sveta.. Sony, OMV, ... i oni su snosili posledice tih gresaka. Trebalo bi i da odgovorni iz agencije za privatizaciju isto tako snose posledice svog nemara.
 
Ocekujem da bude smena u toj agenciji, a da svi odgovorni zavrse na sudu.

Nazalost, iako bi to morao da bude ishod, bio bih vise nego iznenadjen da se nesto tako desi, ipak je ovo Srbija.

Objavljen je i demanti Agencije, kao nisu oni krivi, vec je sve posledica hakerskog upada... nije nego, hakeri su upali u sistem, ukrali podatke, a onda sve to ostavili tako da ih Google indeksira. Pokusaj kontrole stete koji nema veze sa mozgom, ali se (nazalost, ponovo) moze desiti da prodje u ovoj zemlji.
 
Čak i da je hakerski upad, treba da lete glave.
 
samo da vas podsetim da je vd direktora apr radio u bia :)

ne vidim oko cega se vodi polemika, kada je neophodno da se zna ko i kako otvara firme, kako posluju i sl. Posto je sada in biti bezbednosno osvescen, prvo se vi lepo skinite sa google servisa i foursquare servisa, kao i iskljucite lokacijsko trazenje pa mozemo da pricamo o nekoj zastiti.

A inace, pregledao sam u bazi i mene na primer nema iako sam jedno vreme bio ovl lice za jednu firmu i imam besplatne akcije, mog maticnog nema. A trebalo bi da bude. prema tome...
 
Sto se mene tice neka kradu podatke, nemam bas neku istoriju, a sto se tice drzave banana totalna, tugaaa...
 
samo da vas podsetim da je vd direktora apr radio u bia :)

Ako se ne varam, ovo nema veze ni sa APRom ni sa BIAom. Agencija za privatizaciju je u pitanju, a moguce i da nisam razumeo sta si hteo da kazes.
Mislim da Sabic ne moze da spava posle ovoga :(

Ali na kraju krajeva, pokazuje ozbiljnost pristupa ITu od strane institucija.
 
Poslednja izmena:
ma šta vam je bre ljudi, pa 99% građana ni ne zna da se ovo desilo, zaboraviće se za nedelju dana, biće pojeo vuk magarca.
 
Šta covek moze da radi na njegovom mestu? Nema bas neke velike zakonske mogucnosti osim da izrekne kazne do 200. 000 din koje ce biti placene iz budžeta.
 
zapravo on se dosta pita. NJegovo misljenje je postalo OBAVEZUJUCE priliko donosenja svakog zakona pa vi vidite. To koliko je on lud ili nije... Ja mislim da je pokvaren, ali ne bih o tome. Uhvatio sam ga par puta kako prica dijametralno suprotne stvari na twitteru, zato je screen shot iz raja izasao.

@yox sorry, ja sam pogresno uklavirio da je apr kao agencija za privredne registre... Sta je babi milo :)

Moramo prvo definisati st aje to zastita podataka i od koga se to prvobitno stitimo pa sve ostalo.
 
Šta covek moze da radi na njegovom mestu? Nema bas neke velike zakonske mogucnosti osim da izrekne kazne do 200. 000 din koje ce biti placene iz budžeta.

nece ni biti placene, obzirom da njegova resenja nisu izvrsna isprava niti se mogu prinudno naplatiti, vise puta Kasacioni sud potvrdio , tako da moze da izrice do sutra i nije za pametnije stvari.
 
Min fin je više puta platilo kaznu zbog skrivanja informacija od javnog značaja. Poslednji put je pre nekoliko dana cimao baš famoznu agenciju za privatizaciju da dostavi spisak "investitora" koje premijer zdušno pominje. Agencija je prvo ignorisala zahtev udruženja djb restart, pa ih je Šabić upozorio da po zakonu to moraju da dostave i oni su na kraju to uradili.
Nebitno, nije ovo tema o Šabić, vec o propusta diletanata iz agencije za privatizaciju.
Posledice ovoga mogu da budu velike. U banci neko kaze... izgubio (pokraden) sam lk i Cc karticu, a hoću da podignem novac sa racuna i izdiktira sve podatke... JMBG, adresu, br. telefona, br. računa u banci... Ili da poništi kartice žrtvi.

Jos jedna stvar mi nije jasna.. Skoro svaka institucija ima sve podatke svih građana. Koliko su ti podaci sigurni? Npr. neki zaposleni snimi sve to na usb i proda nekoj marketinskoj agenciji ili nekoj trećoj osobi. Zbog cega nam traže silne papire na svakom šalteru kad vec imaju sve informacije?

Odeljenje VTK bi trebalo da ovo ispita. Ako su mogli da jure piratske domaće filmove, sejače panike po fejsbuku za vreme poplava, mogu i ovde da se pozabave sa odgovornošću.
 
Posledice ovoga mogu da budu velike. U banci neko kaze... izgubio (pokraden) sam lk i Cc karticu, a hoću da podignem novac sa racuna i izdiktira sve podatke... JMBG, adresu, br. telefona, br. računa u banci... Ili da poništi kartice žrtvi.

Mislim da je to nemoguce.
 
Telefonom možeš da blokiraš cc karticu bez problema.
 
Ne znam koja je banka u pitanju, mene su jednom iz Rajfajzena smarali da idem u centralu sa popunjenim nekakvim formularima. Mozda si im ti bitan klijent, dobro te znaju pa nisu pravili probleme. Za obicnu raju to bas i nije tako jednostavno. Onima sto rade za najmanje plate u bankama je do tih pozicija stalo vise nego onima na visokim pozicijama. Jer njih ima koliko hoces a kriza je, zatvaraju se poslovnice. Iz mog iskustva, bankerski radnici se drze pravilnika ko pijani plota.
 
Ja sam telefonom deaktivirao izgubljenu visa karticu. Sluzbenik sa druge strane me je pitao za osnovne podatke... Jmbg, adresa, telefon.
 
I mene kad su zvali iz Intese na tel., trazili su samo jmbg da im izdiktiram..
 
dajte link do podataka, hoću komšiji da ugasim kartice
 
Ja sam telefonom deaktivirao izgubljenu visa karticu. Sluzbenik sa druge strane me je pitao za osnovne podatke... Jmbg, adresa, telefon.

A pin? Stvarno je cudno, i porazavajuce da mozes deaktivirati karticu najosnovnijim podacima, cak ni br licne karte koji je, kao, privatniji nego ova 3 podatka, koja moze znati bilo ko blizak tebi..

Recimo ovo je nemoguce u Komercijalnoj, kevi su ukrali torbu iz automobila dok je bila na klizanju (videli da stavlja u gepek, razbili staklo i uzeli), bacili sva dokumenta nekoj zeni u dvoriste koja je zvala na fiksni (nekako ga nasla ili je keva imala kontakt u novcaniku) i dobila mene i javila mi. Ja zvao kevu a keva banku odmah, da bi eventualno blokirali sve kartice pre nego sto lopovi dignu, i rekli su joj da mora licno da dodje. Morala je da bira da li da zove policiju na uvidjaj ili vozi do banke.
 
Poslednja izmena:
JMBG bi trebao da je privatniji podatak, ali ovo je Srbija :)
 
Na svakoj kartici postoji informacija o tome ko je vlasnik kartice i broj telefona na koji se može prijaviti gubitak ili pronalaženje nečije kartice.
 
Moroni. Ono što je još više zabrinjavajuće je što nismo iznenađeni.
 
Vrli novi svet
 
granica se sve više spušta. kako godine prolaze sve ćemo manje biti iznenađeni za još strašnije stvari.
 
Jbga, kada danas za skoro sve postoje centralizovane baze, pa jednim hakerajom možeš da svučeš brdo podataka.
Inače, i meni su letos, kada mi je bila kompromitovana kartica, telefonski tražili ime, prezime, jmbg i broj kartice za blokadu iste...Banca Intesa...nije me pitao za cvv...
Tako da, ko hoće nekoga da zezne, a ovaj ima račun u intezi dovoljno mu je da ima ove podatke i može da mu izblokira sve kartice...za početak.
 
A to je samo jedan od primera zloupotrebe ovih podataka. Neko dovoljno drzak i smeo, moze da ide i dalje.
 
Inače, i meni su letos, kada mi je bila kompromitovana kartica, telefonski tražili ime, prezime, jmbg i broj kartice za blokadu iste...Banca Intesa...nije me pitao za cvv...
Tako da, ko hoće nekoga da zezne, a ovaj ima račun u intezi dovoljno mu je da ima ove podatke i može da mu izblokira sve kartice...za početak.

Ne znam kako si uopšte znao broj kartice kad ti je ista ukradena. Jednostavno izdiktiraš ime, prezime, JMBG, i tip (tipove) kartice koju bi da blokiraš. I to treba da je dovoljno. Moje mišljenje je da je manja šteta koju može da ti napravi neko sa lažnom prijavom (ako je samo to naumio), nego da te neko opelješi do maksimuma zbog toga što nisi mogao da blokiraš kartice. Kao što napisa Yoyoo, ako te nagazi neko dovoljno destruktivan, i inteligentan, svakako će moći mnogo veću štetu da ti napravi od proste blokade kartica.
 
Nazad
Vrh Dno