Десетки хиляди ЕГН и номера на лични карти от Търговския регистър бяха достъпни до вчера в търсачката на Google, заради грешна конфигурация на сървъра, поддържан от Агенцията по вписвания. За да се стигне до тях беше достатъчно да се напише в полето за търсене адреса на сървъра и думата “лична карта” или “ЕГН”. След като Биволъ сигнализира за проблема до КЗЛД и Националния център за действие при инциденти в информационната сигурност (CERT), оттам взеха мерки и от днес резултатите са премахнати от световната търсачка.
Течът нямаше мащабите на НАПЛийкс, но все пак публично бяха достъпни данните на над 60 000 души, които са подавали документи до Търговския регистър. По принцип те дават информирано съгласие данните им да бъдат публични, но достъпът до тях се осъществява през интерфейса на Регистъра, който е защитен срещу масово събиране на данни. Отворените данни, публикувани от Търговския регистър не съдържат ЕГН, а друг уникален идентификатор за лицата.
Преписка на Биволъ със CERT от 26 юли 2019 г.
След като регистрираха инцидента без забавяне на 26 юли, от CERT са се свързали с Агенцията по вписванията и са им препоръчали да се обърнат към Google официално за прекратяване на индексацията на данните. Това явно е станало в началото на седмицата и в момента резултатите са прочистени, а търсенето за “лична карта” не връща нищо.
В предаването “Контракоментар” на Асен Генов, главният редактор на Биволъ Атанас Чобанов разказа за проблема и отбеляза, че в случая не става дума за хакване и външна намеса, а за лоша конфигурация на сървърите на Агенцията по вписванията, които сега се обслужват от държавната фирма “Информационно обслужване” АД. Не е ясно обаче откога датира тази възможност за индексиране от търсачките.
По-рано отново Биволъ сигнализира до КЗЛД и CERT за пробойна в системата на Комисията за защита наличните данни, заради която над 14 000 жалби на граждани бяха потенциално достъпни за нерегламентиран достъп, заедно с личните им данни и адреси. От КЗЛД взеха мерки и публикуваха благодарствен адрес до нашата медия на сайта си.
За съжаление не всички медии в България следват този протокол, когато им стане известна информация за уязвимости в държавни сайтове и теч на данни. След като получиха информацията за НАПЛийкс, най-малко две български телевизии показаха веднага в ефир както адреса на линка, съдържащ данните, така и паролата, с която те бяха защитени. Така на практика те носят отговорност за “освобождаването” на хакнатите данни в публичното пространство, превръщайки ги в масивен теч на информация.
***
