Umów się na spotkanie: +48 535 202 564
Umów się na spotkanie: +48 535 202 564
Autor: Patryk Siewert pod red. Marcina Soczko — w kategorii Komunikaty IOD-y — 25 października 2021
Serwis www rządowej agencji edukacji stanu Missouri przez nieokreślony bliżej okres czasu zawierał w swoim kodzie źródłowym HTML ponad 100 tys. numerów ubezpieczenia społecznego (ang. Social Security Number, SSN) m. in. nauczycieli oraz administratorów rządowej agencji.
SSN wykorzystywany jest w Stanach Zjednoczonych do bezpośredniej identyfikacji obywateli przez organy rządowe i jest bardzo często wykorzystywany przez cyberprzestępców do kradzieży tożsamości, tak jak w Polsce PESEL.
Pikanterii całej sprawie nadaje fakt, iż dziennikarz, który poinformował rządową agencję o zaistniałej sytuacji został okrzyknięty „hackerem” i wszczęto wobec niego śledztwo. Wspomnieć należy, że dziennikarz postąpił w sposób właściwy – zawiadomił rządową agencję o nieprawidłowościach, a z publikacją artykułu na ten temat wstrzymał się do czasu, aż odłączono dostęp do treści www zawierających dane osobowe.
Ponieważ komunikacja za pośrednictwem protokołu http jest bezstanowa (nie są zachowywane informacje na temat poprzednich transakcji z użytkownikiem), wiele aplikacji webowych zachowuje swój status / stan w polach ukrytych (zakodowanych) w kodzie HTML. Dane te są następnie przesyłane wraz z żądaniem klienta do serwera. Najprawdopodobniej SSN były przechowywane właśnie w takich polach w kodzie źródłowym HTML w postaci niezaszyfrowanej.
Samo zakodowanie danych nie stanowi skutecznego ich zabezpieczenia (może pomóc w ich ukryciu, ale nie uchroni przed ich zdekodowaniem). Każdy użytkownik przeglądając kod źródłowy strony www może odnaleźć ukryte pola i wykorzystując funkcje przeglądarki internetowej może zdekodować określony ciąg znaków.
Oczywiście przedmiotowego naruszenia ochrony danych osobowych można było uniknąć, gdyby administrator przy projektowaniu serwisu www uwzględnił bezpieczeństwo danych. Ryzyko związane z projektowaniem aplikacji minimalizuje się stosując wytyczne i dobre praktyki. W Unii Europejskiej jest to obowiązek, wynikający z art. 25 RODO. W procesie oceny ryzyka aplikacji webowych pomocne może być wykorzystanie opublikowanego przez OWASP zestawienia 10 największych zagrożeń dla aplikacji webowych.