SrbijaVoz.rs curenje podataka!

SrbijaVoz.rs curenje podataka! - Printable Version

+- Bezbedan Balkan (https://bezbedanbalkan.net)
+-- Forum: Bezbednost državnih resursa (https://bezbedanbalkan.net/forum-5.html)
+--- Forum: Privatnost (https://bezbedanbalkan.net/forum-10.html)
+--- Thread: SrbijaVoz.rs curenje podataka! (/thread-1000.html)

SrbijaVoz.rs curenje podataka! - 1van - 11-27-2023

Upravo smo dobili prijavu zabrinutog građanina. Slučajno je otkrio da aplikacija za kupovinu karata na SrbijaVoz.rs otkriva lične podatke građana. Moguće je pristupiti podacima bez ikakve autorizacije.

Filename: srbijavoz.rs_curenje_podataka_data_leak_1.png Size: 16.67 KB 11-27-2023, 10:59 AM

RE: SrbijaVoz.rs curenje podataka! - 1van - 11-27-2023

Obavešteni su:

Filename: srbijavoz.rs_curenje_podataka_data_leak_2.png Size: 159.51 KB 11-27-2023, 11:03 AM

RE: SrbijaVoz.rs curenje podataka! - 1van - 11-27-2023

Javio se Poverenik:

Filename: srbijavoz.rs_curenje_podataka_data_leak_3.png Size: 136.47 KB 11-27-2023, 12:01 PM

I po prvi put Nacionalni CERT je tražio detalje:

Filename: srbijavoz.rs_curenje_podataka_data_leak_4.png Size: 217.69 KB 11-27-2023, 12:01 PM

Poslao sam detalje koje sam dobio od zabrinutog građanina.

RE: SrbijaVoz.rs curenje podataka! - milos_rs - 11-27-2023

Dodati odmah i ostale probleme

Srbija Voz - šifra od maksimalno 8 karaktera

Srbija Voz sajt skraćuje šifru pri unosu - verovatno čuvaju šifre kao plaintext

Bezbednost terminala za kupovinu karata na železničkim stanicama

Ovo sve deluje kao sistemski loše urađen projekat, ovde nije od početka razmišljano o sigurnosti a to se teško naknadno ispravlja

RE: SrbijaVoz.rs curenje podataka! - 1van - 11-29-2023

Poverenik traži dopunu:

Filename: Poverenik_SrbijaVoz_Dopuna_1.png Size: 399.04 KB 11-29-2023, 10:24 AM

Poslao sam detalje koje sam dobio od zabrinutog građanina.

RE: SrbijaVoz.rs curenje podataka! - 1van - 12-01-2023

Nacionalni CERT se zahvaljuje i obaveštava da je propust ispravljen.

Filename: Srbijavoz_CERT_3.png Size: 97.72 KB 12-01-2023, 09:32 AM

RE: SrbijaVoz.rs curenje podataka! - 1van - 12-01-2023

Sledeći logički korak koji očekujemo je da Poverenik sprovede nadzor i utvrdi do kolike štete je došlo, tj. da li je i koliko neko zlonamerno iskoristio ovaj propust. Verujem da se ovo može utvrditi lako pregledom web/proxy server logova (ali i na drugim mestima).

Dalje ovo sigurno nije sistem izrađen po preporukama industrije, a neko je dozvolio da bude pušten u rad. Siguran sam da dolazi do kršenja i nekih delova zakona o informacionoj bezbednosti, jer ovo je sistem od posebnog značaja.

RE: SrbijaVoz.rs curenje podataka! - 1van - 12-01-2023

Dobili smo poruku od drugog zabrinutog građanina da sistem Srbijavoz i dalje otkriva neke potencijalno osetljive podatke o sistemu (ne direktno podatke građana kao u prethodnom slučaju, ali to ne znači da ne može biti iskorišćeno u te svrhe). U pitanju je API dokumentacija.

Po svemu sudeći ovaj sistem zahteva pod hitno reviziju bezbednosti!

Obavešten je Nacionalni CERT.

RE: SrbijaVoz.rs curenje podataka! - 1van - 12-12-2023

Dobili smo odgovor Poverenika, kaže nema frke, kad su oni gledali sve je bilo OK, rukovalac im prijavio u roku od tri dana od kada smo mi objavili, a ovo od pre to niko nije prijavio i to ne postoji (a logovi?).