След сигнал на Биволъ:

Търговският регистър оправи сериозен теч на лични данни

Десетки хиляди ЕГН и номера на лични карти от Търговския регистър бяха достъпни до вчера в търсачката на Google, заради грешна конфигурация на сървъра, поддържан от Агенцията по вписвания. За да се стигне до тях беше достатъчно да се напише в полето за търсене адреса на  сървъра и думата “лична карта” или “ЕГН”. След като Биволъ сигнализира за проблема до КЗЛД и Националния център за действие при инциденти в информационната сигурност (CERT), оттам взеха мерки и от днес резултатите са премахнати от световната търсачка.

Течът нямаше мащабите на НАПЛийкс, но все пак публично бяха достъпни данните на над 60 000 души, които са подавали документи до Търговския регистър. По принцип те дават информирано съгласие данните им да бъдат публични, но достъпът до тях се осъществява през интерфейса на Регистъра, който е защитен срещу масово събиране на данни. Отворените данни, публикувани от Търговския регистър не съдържат ЕГН, а друг уникален идентификатор за лицата.

Преписка на Биволъ със CERT от 26 юли 2019 г.

След като регистрираха инцидента без забавяне на 26 юли, от CERT са се свързали с Агенцията по вписванията и са им препоръчали да се обърнат към Google официално за прекратяване на индексацията на данните. Това явно е станало в началото на седмицата и в момента резултатите са прочистени, а търсенето за “лична карта” не връща нищо.

В предаването “Контракоментар” на Асен Генов, главният редактор на Биволъ Атанас Чобанов разказа за проблема и отбеляза, че в случая не става дума за хакване и външна намеса, а за лоша конфигурация на сървърите на Агенцията по вписванията, които сега се обслужват от държавната фирма “Информационно обслужване” АД. Не е ясно обаче откога датира тази възможност за индексиране от търсачките.

По-рано отново Биволъ сигнализира до КЗЛД и CERT за пробойна в системата на Комисията за защита наличните данни, заради която над 14 000 жалби на граждани бяха потенциално достъпни за нерегламентиран достъп, заедно с личните им данни и адреси. От КЗЛД взеха мерки и публикуваха благодарствен адрес до нашата медия на сайта си.

За съжаление не всички медии в България следват този протокол, когато им стане известна информация за уязвимости в държавни сайтове и теч на данни. След като получиха информацията за НАПЛийкс, най-малко две български телевизии показаха веднага в ефир както адреса на линка, съдържащ данните, така и паролата, с която те бяха защитени. Така на практика те носят отговорност за “освобождаването” на хакнатите данни в публичното пространство, превръщайки ги в масивен теч на информация.

***

Ако намирате, че статията е интересна и полезна, можете да ни подкрепите, за да продължим да правим независима разследваща журналистика.

Включете се с Данъкъ Биволъ!

При възможност, станете наш редовен спомоществовател с опцията Месечен Данъкъ или Годишен Данъкъ. Това ни помага да предвиждаме бъдещи разходи и да планираме дейността си за месеци напред.

Избрахте да дарите 10.00€ Месечно

Възможности за плащане
Log In to Your Account (optional)

Информация за банковата карта
Плащането е защитено със SSL криптиране

Обща сума: 10.00€ Месечно

Извършвайки плащане Вие се съгласявате с Общите условия, които предварително сте прочели тук.

Биволъ не записва и не съхранява номера на Вашата банкова карта. Плащанията се обработват през системата Stripe. Даренията за Биволъ с банкови карти се управляват от френската неправителствена организация Data for Reporters Journalists and Investigations - DRJI.

Избрахте да дарите 10.00€ Годишно

Възможности за плащане
Log In to Your Account (optional)

Информация за банковата карта
Плащането е защитено със SSL криптиране

Обща сума: 10.00€ Годишно

Извършвайки плащане Вие се съгласявате с Общите условия, които предварително сте прочели тук.

Биволъ не записва и не съхранява номера на Вашата банкова карта. Плащанията се обработват през системата Stripe. Даренията за Биволъ с банкови карти се управляват от френската неправителствена организация Data for Reporters Journalists and Investigations - DRJI.

Възможности за плащане
Log In to Your Account (optional)

Информация за банковата карта
Плащането е защитено със SSL криптиране

Обща сума: 5.00€

Извършвайки плащане Вие се съгласявате с Общите условия, които предварително сте прочели тук.

Биволъ не записва и не съхранява номера на Вашата банкова карта. Плащанията се обработват през системата Stripe. Даренията за Биволъ с банкови карти се управляват от френската неправителствена организация Data for Reporters Journalists and Investigations - DRJI.

Вижте как да подкрепите Биволъ със SMS на кратък номер или с криптовалута тук

.

This post is also available in: English

Вижте също / Read Also