Десетки хиляди ЕГН и номера на лични карти от Търговския регистър бяха достъпни до вчера в търсачката на Google, заради грешна конфигурация на сървъра, поддържан от Агенцията по вписвания. За да се стигне до тях беше достатъчно да се напише в полето за търсене адреса на сървъра и думата “лична карта” или “ЕГН”. След като Биволъ сигнализира за проблема до КЗЛД и Националния център за действие при инциденти в информационната сигурност (CERT), оттам взеха мерки и от днес резултатите са премахнати от световната търсачка.
Течът нямаше мащабите на НАПЛийкс, но все пак публично бяха достъпни данните на над 60 000 души, които са подавали документи до Търговския регистър. По принцип те дават информирано съгласие данните им да бъдат публични, но достъпът до тях се осъществява през интерфейса на Регистъра, който е защитен срещу масово събиране на данни. Отворените данни, публикувани от Търговския регистър не съдържат ЕГН, а друг уникален идентификатор за лицата.
Преписка на Биволъ със CERT от 26 юли 2019 г.
След като регистрираха инцидента без забавяне на 26 юли, от CERT са се свързали с Агенцията по вписванията и са им препоръчали да се обърнат към Google официално за прекратяване на индексацията на данните. Това явно е станало в началото на седмицата и в момента резултатите са прочистени, а търсенето за “лична карта” не връща нищо.
В предаването “Контракоментар” на Асен Генов, главният редактор на Биволъ Атанас Чобанов разказа за проблема и отбеляза, че в случая не става дума за хакване и външна намеса, а за лоша конфигурация на сървърите на Агенцията по вписванията, които сега се обслужват от държавната фирма “Информационно обслужване” АД. Не е ясно обаче откога датира тази възможност за индексиране от търсачките.
По-рано отново Биволъ сигнализира до КЗЛД и CERT за пробойна в системата на Комисията за защита наличните данни, заради която над 14 000 жалби на граждани бяха потенциално достъпни за нерегламентиран достъп, заедно с личните им данни и адреси. От КЗЛД взеха мерки и публикуваха благодарствен адрес до нашата медия на сайта си.
За съжаление не всички медии в България следват този протокол, когато им стане известна информация за уязвимости в държавни сайтове и теч на данни. След като получиха информацията за НАПЛийкс, най-малко две български телевизии показаха веднага в ефир както адреса на линка, съдържащ данните, така и паролата, с която те бяха защитени. Така на практика те носят отговорност за “освобождаването” на хакнатите данни в публичното пространство, превръщайки ги в масивен теч на информация.
***
Ако намирате, че статията е интересна и полезна, можете да ни подкрепите, за да продължим да правим независима разследваща журналистика. If you find the article interesting and useful, you can support us to continue to do independent investigative journalism.
Включете се с Данъкъ Биволъ! Support Bivol
При възможност, станете наш редовен спомоществовател с опцията Месечен Данъкъ. Това ни помага да предвиждаме бъдещи разходи и да планираме дейността си за месеци напред.
Извършвайки плащане Вие се съгласявате с Общите условия, които предварително сте прочели тук.
Please, read our Terms and conditions here.
Биволъ не записва и не съхранява номера на Вашата банкова карта. Плащанията се обработват през системата Stripe. Даренията за Биволъ с банкови карти се управляват от френската неправителствена организация Data for Reporters Journalists and Investigations - DRJI.
Bivol is not recording the number of your bank card. The card payments go through Stripe. Card donations for Bivol are managed by the French NGO Data for Reporters Journalists and Investigations - DRJI.
Извършвайки плащане Вие се съгласявате с Общите условия, които предварително сте прочели тук.
Please, read our Terms and conditions here.
Биволъ не записва и не съхранява номера на Вашата банкова карта. Плащанията се обработват през системата Stripe. Даренията за Биволъ с банкови карти се управляват от френската неправителствена организация Data for Reporters Journalists and Investigations - DRJI.
Bivol is not recording the number of your bank card. The card payments go through Stripe. Card donations for Bivol are managed by the French NGO Data for Reporters Journalists and Investigations - DRJI.
IBAN: BG27 ESPY 4004 0065 0626 02
BIC: ESPYBGS1
Титуляр/Account Holder: Bivol EOOD
Извършвайки плащане Вие се съгласявате с Общите условия, които предварително сте прочели тук.
Биволъ не записва и не съхранява номера на Вашата банкова карта. Плащанията се обработват през системата Stripe. Даренията за Биволъ с банкови карти се управляват от френската неправителствена организация Data for Reporters Journalists and Investigations - DRJI.
SMS код BIVOL
За да подкрепите с малка сума нашите разследвания и автори, можете да изпратите SMS на кратък номер. Ще получите с обратен SMS линк към нашия архив.
- Изпрати 1,2 лв. на номер 1851 с код BIVOL и получи достъп до Архивите на Биволъ
- Изпрати 2,4 лв. на номер 1092 с код BIVOL и получи достъп до Архивите на Биволъ
- Изпрати 4,8 лв. на номер 1094 с код BIVOL и получи достъп до Архивите на Биволъ
- Изпрати 12 лв. с два смс-а на номер 1096 с код BIVOL и получи достъп до Архивите на Биволъ
Сумите са с включен ДДС. Моля, имайте предвид, че това е най-неефективният начин да подпомогнете Биволъ, тъй като комисионната на мобилните оператори достига 60%. Ако имате възможност, използвайте някой от другите методи на плащане.
Криптовалути
За да ни изпратите биткойни сканирайте QR кода или използвайте един от двата адреса: Standard: 1EY3iwkPXiby6XFsyCcVPGZPYCGPbPeVcb
Segwit: bc1ql28g7qnvdmenrzhhc7rtk0zk67gg4wd9x9jmmc
This post is also available in: English
Трябва да влезете, за да коментирате.