SrbijaVoz.rs curenje podataka! - Printable Version +- Bezbedan Balkan (https://bezbedanbalkan.net) +-- Forum: Bezbednost državnih resursa (https://bezbedanbalkan.net/forum-5.html) +--- Forum: Privatnost (https://bezbedanbalkan.net/forum-10.html) +--- Thread: SrbijaVoz.rs curenje podataka! (/thread-1000.html) |
SrbijaVoz.rs curenje podataka! - 1van - 11-27-2023 Upravo smo dobili prijavu zabrinutog građanina. Slučajno je otkrio da aplikacija za kupovinu karata na SrbijaVoz.rs otkriva lične podatke građana. Moguće je pristupiti podacima bez ikakve autorizacije. RE: SrbijaVoz.rs curenje podataka! - 1van - 11-27-2023 Obavešteni su: RE: SrbijaVoz.rs curenje podataka! - 1van - 11-27-2023 Javio se Poverenik: I po prvi put Nacionalni CERT je tražio detalje: Poslao sam detalje koje sam dobio od zabrinutog građanina. RE: SrbijaVoz.rs curenje podataka! - milos_rs - 11-27-2023 Dodati odmah i ostale probleme Srbija Voz - šifra od maksimalno 8 karaktera Srbija Voz sajt skraćuje šifru pri unosu - verovatno čuvaju šifre kao plaintext Bezbednost terminala za kupovinu karata na železničkim stanicama Ovo sve deluje kao sistemski loše urađen projekat, ovde nije od početka razmišljano o sigurnosti a to se teško naknadno ispravlja RE: SrbijaVoz.rs curenje podataka! - 1van - 11-29-2023 Poverenik traži dopunu: Poslao sam detalje koje sam dobio od zabrinutog građanina. RE: SrbijaVoz.rs curenje podataka! - 1van - 12-01-2023 Nacionalni CERT se zahvaljuje i obaveštava da je propust ispravljen. RE: SrbijaVoz.rs curenje podataka! - 1van - 12-01-2023 Sledeći logički korak koji očekujemo je da Poverenik sprovede nadzor i utvrdi do kolike štete je došlo, tj. da li je i koliko neko zlonamerno iskoristio ovaj propust. Verujem da se ovo može utvrditi lako pregledom web/proxy server logova (ali i na drugim mestima). Dalje ovo sigurno nije sistem izrađen po preporukama industrije, a neko je dozvolio da bude pušten u rad. Siguran sam da dolazi do kršenja i nekih delova zakona o informacionoj bezbednosti, jer ovo je sistem od posebnog značaja. RE: SrbijaVoz.rs curenje podataka! - 1van - 12-01-2023 Dobili smo poruku od drugog zabrinutog građanina da sistem Srbijavoz i dalje otkriva neke potencijalno osetljive podatke o sistemu (ne direktno podatke građana kao u prethodnom slučaju, ali to ne znači da ne može biti iskorišćeno u te svrhe). U pitanju je API dokumentacija. Po svemu sudeći ovaj sistem zahteva pod hitno reviziju bezbednosti! Obavešten je Nacionalni CERT. RE: SrbijaVoz.rs curenje podataka! - 1van - 12-12-2023 Dobili smo odgovor Poverenika, kaže nema frke, kad su oni gledali sve je bilo OK, rukovalac im prijavio u roku od tri dana od kada smo mi objavili, a ovo od pre to niko nije prijavio i to ne postoji (a logovi?). |