Μη θορυβείστε.. Ουδέν κακόν αμιγές καλού.. Μερικά πράγματα μπορούν να ακυρωθούν από μία και μόνη τρύπα. Παραδείγματα: ένα εισιτήριο, μία παρθένα, ένα μπαλόνι και η συγκεκριμένη κυβέρνηση..
Σοβαρό κενό ασφαλείας διαπιστώθηκε στην κυβερνητική πύλη gov.gr εκθέτοντας στο διαδίκτυο κρίσιμα προσωπικά δεδομένα πολιτών, τα οποία είναι προσβάσιμα μέσα σε λίγα δευτερόλεπτα είτε λόγω απροσεξίας όσων φορέων ή ιδιωτών αναρτούν μερικώς αποπροσωποποιημένα έγγραφα, είτε ακόμη και... τυχαία.
Σοβαρό κενό ασφαλείας διαπίστωσε την περασμένη Τρίτη στο gov.gr η Ενωση Πληροφορικών Ελλάδας, με την «τρύπα» να παραμένει ορθάνοιχτη τουλάχιστον μέχρι χθες, αφήνοντας εκτεθειμένα στο διαδίκτυο κρίσιμα προσωπικά δεδομένα πολιτών.
Το πρόβλημα ανακαλύφθηκε με απλή αναζήτηση στο Google ή σε φωτογραφίες (ή ακόμη και τυχαία) εντοπίζοντας κωδικούς URL που εμφανίζουν υπεύθυνες δηλώσεις πολιτών (μέσω της πλατφόρμας: dilosi.services.gov.gr), άσχετων με αυτόν που κάνει την αναζήτηση, ή στοιχεία από άλλα επίσημα έγγραφα (π.χ. βεβαίωση εμβολιασμού κ.ά.), με πολλά προσωπικά στοιχεία όπως αριθμός ταυτότητας, ΑΜΚΑ, ΑΦΜ, στοιχεία επικοινωνίας, εμπορικές πράξεις κ.λπ.
Επιπλέον, το σύστημα είναι «διάτρητο» λόγω και της μη κρυπτογραφημένης τεχνικής λύσης που επελέγη για την αποστολή δεδομένων (πρωτόκολλο GET) τα οποία είναι… φανερά από όλους τους σέρβερ που περνά μια επικοινωνία προς το gov.gr, στα αρχεία καταγραφής (LOG files) ή στις προσωρινές μνήμες και τελικά εύκολα ανακτήσιμα από σχεδόν οποιονδήποτε έχει τις τεχνικές γνώσεις.
Αμεσα η Ενωση ενημέρωσε με επιστολή το υπουργείο Ψηφιακής Διακυβέρνησης, τη Γενική Γραμματεία Πληροφοριακών Συστημάτων, την Αρχή Διασφάλισης Απορρήτου Επικοινωνιών και την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα. Η δημόσια ανακοίνωση της Ενωσης έγινε 72 ώρες μετά την ενημέρωση των αρμόδιων αρχών, βάσει του άρθρου 33 του πλαισίου GDPR, σχετικά με το Δημόσιο Συμφέρον και την Υποχρέωση Γνωστοποίησης, ώστε να υπάρχει χρόνος αποκατάστασης.
Δεν υπάρχουν σχόλια:
Δημοσίευση σχολίου