Bezbedan Balkan
Zaštita ličnih podataka građana "nevidljivim" linkom - Printable Version

+- Bezbedan Balkan (https://bezbedanbalkan.net)
+-- Forum: Bezbednost državnih resursa (https://bezbedanbalkan.net/forum-5.html)
+--- Forum: Neadekvatno zaštićeni resursi (https://bezbedanbalkan.net/forum-7.html)
+--- Thread: Zaštita ličnih podataka građana "nevidljivim" linkom (/thread-182.html)



Zaštita ličnih podataka građana "nevidljivim" linkom - 1van - 10-21-2022

Pre izvesnog vremena ovo što vidite na slici ispod objavio je jedan član foruma na svom Twitter nalogu. U prevodu podatke građana je mogao da prikupi bilo ko samo pogađajući linkove. Rešenje "stručnjaka" je da poveća link i smanji vreme brisanja generisanih dokumenata.

Samo iz ovog teksta ja sam zaključio da tu postoji:
  • A01 - Broken Access Control 
  • A04 - Insecure Design 
  • A07 - Identification and Authentication Failures 
  • A09 - Security Logging and Monitoring Failures

I da nakon primene mera za ublažavanje i dalje imamo iste ranjivosti.
I dalje će dokumenti sa ličnim podacima stajati na serveru i moćiće da im se pristupi bez adekvatne autorizacije i autentifikacije.
I dalje niko ništa neće preuzeti ako fajlu pristupi treća osoba.
I dalje će link ka dokumentu moći da se otkrije od strane trećeg lica u npr. "proxiranom" saobraćaju, istoriji pretraživača ili pogađanjem URL-a. 

Izvori i dodatne info: 
- https://twitter.com/Joshibeast/status/1506260393576083464
https://twitter.com/ivanmarkovicsec/status/1506272278945927178
https://twitter.com/ivanmarkovicsec/status/1506305436269654017

Treba napomenuti da još mnogo državnih servisa funkcioniše na sličan način, i da podaci građana nisu adekvatno zaštićeni.


[Image: attachment.php?aid=123]