След сигнал на Биволъ:

Търговският регистър оправи сериозен теч на лични данни

by Атанас Чобанов

Десетки хиляди ЕГН и номера на лични карти от Търговския регистър бяха достъпни до вчера в търсачката на Google, заради грешна конфигурация на сървъра, поддържан от Агенцията по вписвания. За да се стигне до тях беше достатъчно да се напише в полето за търсене адреса на  сървъра и думата “лична карта” или “ЕГН”. След като Биволъ сигнализира за проблема до КЗЛД и Националния център за действие при инциденти в информационната сигурност (CERT), оттам взеха мерки и от днес резултатите са премахнати от световната търсачка.

Течът нямаше мащабите на НАПЛийкс, но все пак публично бяха достъпни данните на над 60 000 души, които са подавали документи до Търговския регистър. По принцип те дават информирано съгласие данните им да бъдат публични, но достъпът до тях се осъществява през интерфейса на Регистъра, който е защитен срещу масово събиране на данни. Отворените данни, публикувани от Търговския регистър не съдържат ЕГН, а друг уникален идентификатор за лицата.

Преписка на Биволъ със CERT от 26 юли 2019 г.

След като регистрираха инцидента без забавяне на 26 юли, от CERT са се свързали с Агенцията по вписванията и са им препоръчали да се обърнат към Google официално за прекратяване на индексацията на данните. Това явно е станало в началото на седмицата и в момента резултатите са прочистени, а търсенето за “лична карта” не връща нищо.

В предаването “Контракоментар” на Асен Генов, главният редактор на Биволъ Атанас Чобанов разказа за проблема и отбеляза, че в случая не става дума за хакване и външна намеса, а за лоша конфигурация на сървърите на Агенцията по вписванията, които сега се обслужват от държавната фирма “Информационно обслужване” АД. Не е ясно обаче откога датира тази възможност за индексиране от търсачките.

По-рано отново Биволъ сигнализира до КЗЛД и CERT за пробойна в системата на Комисията за защита наличните данни, заради която над 14 000 жалби на граждани бяха потенциално достъпни за нерегламентиран достъп, заедно с личните им данни и адреси. От КЗЛД взеха мерки и публикуваха благодарствен адрес до нашата медия на сайта си.

За съжаление не всички медии в България следват този протокол, когато им стане известна информация за уязвимости в държавни сайтове и теч на данни. След като получиха информацията за НАПЛийкс, най-малко две български телевизии показаха веднага в ефир както адреса на линка, съдържащ данните, така и паролата, с която те бяха защитени. Така на практика те носят отговорност за “освобождаването” на хакнатите данни в публичното пространство, превръщайки ги в масивен теч на информация.

***

Приятели, радваме се, че стигнахте дотук. Dear Friends, glad to see you finished reading the article.

Ако намирате, че статията е интересна и полезна, можете да ни подкрепите, за да продължим да правим независима разследваща журналистика. If you find this article usefull, you can support our efforts to keep doing independent investigative reporting.

Платете Данъкъ Биволъ! / Pay Bivol Tax!

Въведете сума по избор и номера на Вашата кредитна или дебитна карта. Изберете дали да ни подкрепите еднократно или всеки месец:

Подкрепа за Биволъ

Support Bivol
Or enter your payment details below

Биволъ не записва и не съхранява номера на Вашата банкова карта. Плащанията се обработват през системата Stripe. Ако използвате Apple Pay или G-Pay и виждате съответния бутон, можете да кликнете директно на него, без да въвеждате номер на картата. Bivol is not keeping track of your card number. We relay on Stripe for card, Apple Pay and G-Pay processing.

Можете също да се включите с ЕДНОКРАТЕН ДАНЪК през PayPal или Epay/банков превод или със СМС, или да станете един от нашите редовни, МЕСЕЧНИ ДАНЪКОПЛАТЦИ Научете повече за Данъкъ Биволъ тук.

You can also support us with ONE TIME TAX through PayPal, or become one of our regular, MONTHLY TAXPAYERS .

This post is also available in: English

Вижте също / Read Also