Neovlašćeno objavljeni podaci više od 5 miliona građana Srbije

Vesti, 16.12.2014, 09:17 AM

Na sajtu Agencije za privatizaciju neovlašćeno su objavljeni podaci o ličnosti 5190396 građana Srbije i preko 4 hiljade finansijskih dokumenata, objavila je Share fondacija, neprofitna organizacija koja se bori za zaštitu građanskih prava u oblastima privatnosti, slobode govora, transparentnosti i efikasnosti vlasti i elektronskog nadzora.

Tekstualna baza sa podacima o ličnosti 5190396 građana Srbije, uz više od 4000 finansijskih dokumenata (ukupno preko 19 gigabajta sadržaja), bila je tokom protekle nedelje javno dostupna na zvaničnom sajtu Agencije za privatizaciju Republike Srbije.

Analiza Share fondacije je pokazala da su podaci 5190396 građana zapravo podaci iz evidencije nosilaca prava besplatnih akcija koju vodi Agencija za privatizaciju. Veličina tekstualne baze sa podacima o ličnosti je 1,22 gigabajta, što predstavlja ogromnu količinu podataka o ličnosti koji su ostavljeni tako da svako može da im pristupi, preuzme ih i potencijalno zloupotrebi.

Iz fondacije kažu da ovaj slučaj ne treba povezivati sa hakerskim pretnjama koje su prošle nedelje preneli mediji. U tom slučaju se radilo o mnogo manjem broju ličnih podataka čije poreklo je najverovatnije baza podataka "sigurnih glasača" neke od političkih stranaka, kažu iz fondacije.

Kompromitovani podaci o kojima se u ovom slučaju radi su podaci više od 5 miliona građana Srbije koji su se 2008. godine prijavili za besplatne akcije. Analizom ovih podataka je utvrđeno da oni sadrže sledeće podatke 5190396 građana Srbije: ime i prezime, srednje ime, jedinstveni matični broj građana (JMBG) i status građanina u evidenciji nosilaca prava na besplatne akcije.

Na osnovu tih podataka moguće je utvrditi datum rođenja, mesto rođena, starost i pol svakog od građana čiji su podaci kompromitovani.

Značaj ovih podataka se između ostalog ogleda i u činjenici da svaki korisnik interneta na osnovu JMBG može potencijalno pretraživati druge javne elektronske baze kako bi došao do dodatnih podataka”, upozoravaju iz fondacije. “Takođe, ukoliko neko sazna vaš JMBG, može da se prijavi na različite javne ili privatne elektronske servise koristeći vaš identitet.”

Pored toga, moguća je zloupotreba i društvenim inženjeringom.

“Ponekad je dovoljno pozvati neku kompaniju sa kojom imate ugovor i dajući samo ime, prezime i JMBG možete zahtevati dodatne usluge ili ukidanje pojedinih usluga. U pogrešnim rukama, ovi podaci mogu da dovedu do masovne krađe identiteta građana, usled čega će državni organi i privreda morati da preduzmu adekvatne mere kako ne bi došlo do ozbiljnih posledica za građane čiji su podaci kompromitovani.”

Link ka bazi slobodno se razmenjivao na Twitteru, gde su ga primetili saradnici fondacije. Iako je prva pomisao bila da je neko iz Agencije za privatizaciju neovlašćeno dostavio link koji se potom našao na društvenim mrežama, ispostavilo se da se baza mogla pronaći preko Googlea, te da je svako ko bi ukucao svoj JMBG, a ko se prijavio za besplatne akcije 2008. godine, mogao da pristupi ovoj stranici bez ikakvog ograničenja.

“Za sada nismo upoznati da li je u pitanju neka vrsta bezbednosnog napada ili neprihvatljiva greška zaposlenih u Agenciji, ali smo sigurni da je ovo najveći bezbednosni propust u sferi zaštite informacionih sistema i privatnosti građana koji se desio u novijoj istoriji Srbije”, kažu iz fondacije.

Share fondacija nije želela da alarmira javnost dok baza ne bude uklonjena sa interneta, pa je o ovome obaveštena i Kancelarija Poverenika za informacije od javnog značaja i zaštitu podataka o ličnosti, koja je hitno reagovala. Pristup bazi je od petka, 12. decembra onemogućen.

U fondaciji se nadaju da će postupak koji je pokrenuo Poverenik otkriti sve aspekte ovog bezbednosnog propusta kako bi se utvrdila odgovorna lica, ali i podigla svest kod zaposlenih u javnom sektoru o odgovornosti za podatke o ličnosti koje čuvaju.

“Upozoravamo sve koji su eventualno došli do baze sa ličnim podacima građana Srbije da svaka dalja upotreba, preprodaja i ustupanje može biti osnov za krivičnu odgovornost po osnovu krivičnog dela “Neovlašćeno prikupljanje ličnih podataka” (čl. 146 Krivičnog zakonika)”, kaže se u saopštenju fondacije.