След сигнал на Биволъ:

Търговският регистър оправи сериозен теч на лични данни

by Атанас Чобанов

Десетки хиляди ЕГН и номера на лични карти от Търговския регистър бяха достъпни до вчера в търсачката на Google, заради грешна конфигурация на сървъра, поддържан от Агенцията по вписвания. За да се стигне до тях беше достатъчно да се напише в полето за търсене адреса на  сървъра и думата “лична карта” или “ЕГН”. След като Биволъ сигнализира за проблема до КЗЛД и Националния център за действие при инциденти в информационната сигурност (CERT), оттам взеха мерки и от днес резултатите са премахнати от световната търсачка.

Течът нямаше мащабите на НАПЛийкс, но все пак публично бяха достъпни данните на над 60 000 души, които са подавали документи до Търговския регистър. По принцип те дават информирано съгласие данните им да бъдат публични, но достъпът до тях се осъществява през интерфейса на Регистъра, който е защитен срещу масово събиране на данни. Отворените данни, публикувани от Търговския регистър не съдържат ЕГН, а друг уникален идентификатор за лицата.

Преписка на Биволъ със CERT от 26 юли 2019 г.

След като регистрираха инцидента без забавяне на 26 юли, от CERT са се свързали с Агенцията по вписванията и са им препоръчали да се обърнат към Google официално за прекратяване на индексацията на данните. Това явно е станало в началото на седмицата и в момента резултатите са прочистени, а търсенето за “лична карта” не връща нищо.

В предаването “Контракоментар” на Асен Генов, главният редактор на Биволъ Атанас Чобанов разказа за проблема и отбеляза, че в случая не става дума за хакване и външна намеса, а за лоша конфигурация на сървърите на Агенцията по вписванията, които сега се обслужват от държавната фирма “Информационно обслужване” АД. Не е ясно обаче откога датира тази възможност за индексиране от търсачките.

По-рано отново Биволъ сигнализира до КЗЛД и CERT за пробойна в системата на Комисията за защита наличните данни, заради която над 14 000 жалби на граждани бяха потенциално достъпни за нерегламентиран достъп, заедно с личните им данни и адреси. От КЗЛД взеха мерки и публикуваха благодарствен адрес до нашата медия на сайта си.

За съжаление не всички медии в България следват този протокол, когато им стане известна информация за уязвимости в държавни сайтове и теч на данни. След като получиха информацията за НАПЛийкс, най-малко две български телевизии показаха веднага в ефир както адреса на линка, съдържащ данните, така и паролата, с която те бяха защитени. Така на практика те носят отговорност за “освобождаването” на хакнатите данни в публичното пространство, превръщайки ги в масивен теч на информация.


Ако намирате, че статията е интересна и полезна, можете да подкрепите Биволъ с малка сума. Въведете желаната сума в полето и реквизитите на Вашата банкова карта или използвайте бутона Apple Pay/G-Pay от Вашия мобилен телефон:

Подкрепа за Биволъ

Support Bivol
Or enter your payment details below
Или станете наш редовен спомоществовател с „Данъкъ Биволъ“

***

Приятели, радваме се, че стигнахте дотук.

Ако намирате, че статията е интересна и полезна, можете да ни подкрепите, за да продължим да правим независима разследваща журналистика.

Платете Данъкъ Биволъ!

Включете се с ЕДНОКРАТЕН ДАНЪК (през PayPal, банкова карта, Epay/банков превод), или станете един от нашите редовни, МЕСЕЧНИ ДАНЪКОПЛАТЦИ (през PayPal или банкова карта), или със СМС от България или чужбина

Научете повече за Данъкъ Биволъ тук.

This post is also available in: English

Вижте също / Read Also