Wyciek danych spowodowany błędnie zaprojektowanym serwisem www

Autor: Patryk Siewert pod red. Marcina Soczko — w kategorii Komunikaty IOD-y — 25 października 2021

25

paź
2021

Serwis www rządowej agencji edukacji stanu Missouri przez nieokreślony bliżej okres czasu zawierał w swoim kodzie źródłowym HTML ponad 100 tys. numerów ubezpieczenia społecznego (ang. Social Security Number, SSN) m. in. nauczycieli oraz administratorów rządowej agencji.

SSN wykorzystywany jest w Stanach Zjednoczonych do bezpośredniej identyfikacji obywateli przez organy rządowe i jest bardzo często wykorzystywany przez cyberprzestępców do kradzieży tożsamości, tak jak w Polsce PESEL.

Pikanterii całej sprawie nadaje fakt, iż dziennikarz, który poinformował rządową agencję o zaistniałej sytuacji został okrzyknięty „hackerem” i wszczęto wobec niego śledztwo. Wspomnieć należy, że dziennikarz postąpił w sposób właściwy – zawiadomił rządową agencję o nieprawidłowościach, a z publikacją artykułu na ten temat wstrzymał się do czasu, aż odłączono dostęp do treści www zawierających dane osobowe.

SZCZEGÓŁY NARUSZENIA OCHRONY DANYCH OSOBOWYCH

Ponieważ komunikacja za pośrednictwem protokołu http jest bezstanowa (nie są zachowywane informacje na temat poprzednich transakcji z użytkownikiem), wiele aplikacji webowych zachowuje swój status / stan w polach ukrytych (zakodowanych) w kodzie HTML. Dane te są następnie przesyłane wraz z żądaniem klienta do serwera. Najprawdopodobniej SSN były przechowywane właśnie w takich polach w kodzie źródłowym HTML w postaci niezaszyfrowanej.

Samo zakodowanie danych nie stanowi skutecznego ich zabezpieczenia (może pomóc w ich ukryciu, ale nie uchroni przed ich zdekodowaniem). Każdy użytkownik przeglądając kod źródłowy strony www może odnaleźć ukryte pola i wykorzystując funkcje przeglądarki internetowej może zdekodować określony ciąg znaków.

PRIVACY BY DESIGN (ART. 25 RODO)

Oczywiście przedmiotowego naruszenia ochrony danych osobowych można było uniknąć, gdyby administrator przy projektowaniu serwisu www uwzględnił bezpieczeństwo danych. Ryzyko związane z projektowaniem aplikacji minimalizuje się stosując wytyczne i dobre praktyki. W Unii Europejskiej jest to obowiązek, wynikający z art. 25 RODO. W procesie oceny ryzyka aplikacji webowych pomocne może być wykorzystanie opublikowanego przez OWASP zestawienia 10 największych zagrożeń dla aplikacji webowych.

Dołącz do dyskusji

Podanie adresu e-mail jest związane z moderacją treści komentarza, w szczególności z ewentualnym kontaktem z Użytkownikiem, w celu uzgodnienia ostatecznej treści, co stanowi prawnie uzasadniony interes administratora. Po opublikowaniu komentarza widoczna jest jedynie jego treść i data publikacji oraz imię autora, reszta danych jest niezwłocznie usuwana. Szczegóły dotyczące przetwarzania danych osobowych zawarte są w Polityce prywatności.


7 + 13 =