Neovlašćeno objavljeni podaci o ličnosti više od 5 miliona građana Srbije

15-12-2014

Na sajtu Agencije za privatizaciju neovlašćeno objavljeni podaci o ličnosti 5 190 396 građana Srbije i preko 4 hiljade finansijskih dokumenata

Tekstualna baza sa podacima o ličnosti 5 190 396 građana Srbije, uz više od 4 000 finansijskih dokumenata (ukupno preko 19 gigabajta sadržaja), bila je tokom protekle nedelje javno dostupna na zvaničnom sajtu Agencije za privatizaciju Republike Srbije, utvrdila je SHARE Fondacija.

Analizom je utvrđeno da su podaci 5 190 396 građana zapravo podaci iz evidencije nosilaca prava besplatnih akcija koju vodi Agencija za privatizaciju. Veličina tekstualne baze sa podacima o ličnosti je 1,22 gigabajta, što predstavlja ogromnu količinu podataka o ličnosti koji su ostavljeni tako da svako može da im pristupi, preuzme ih i potencijalno zloupotrebi. Bazi sa ličnim podacima je bilo moguće pristupiti na sledećem linku: http://www.priv.rs/upload/company/contract/BES/dump_web_prijave_10062013.txt.

Ovaj slučaj ne treba vezivati za vesti o „hakerskim pretnjama“ kojima su se mediji poslednjih nekoliko dana prilično bavili. U slučaju „srpskih hakera“, po onom što se moglo videti, radilo se o mnogo manjem broju ličnih podataka čije poreklo je najverovatnije baza podataka „sigurnih glasača“ neke od političkih stranaka.

Pošto baza kompromituje podatke više od 5 miliona ljudi, nismo želeli da alarmiramo javnost dok baza ne bude uklonjena sa Interneta. Stoga smo obavestili Kancelariju Poverenika za informacije od javnog značaja i zaštitu podataka o ličnosti, koja je hitno reagovala povodom ovog slučaja. Pristup bazi je onemogućen u petak, 12. decembra tokom popodnevnih časova, nakon što su prikupljeni dokazi i o svemu obaveštena Agencija za privatizaciju.

Ukoliko ste građanin Srbije i 2008. godine ste se prijavili za besplatne akcije, vaši podaci su kompromitovani. U nastavku možete videti izgled dela baze:

Analizom je utvrđeno da baza sadrži različite podatke o 5 190 396 građana Srbije i to:
ime
prezime
srednje ime
jedinstveni matični broj građana (JMBG)
status građanina u evidenciji nosilaca prava na besplatne akcije (poslednja kolona)

Važno je napomenuti da je na osnovu predstavljenih podataka moguće utvrditi sledeće informacije o određenoj ličnosti:

datum rođenja
mesto rođenja
starost
pol

Značaj ovih podataka se između ostalog ogleda i u činjenici da svaki korisnik Interneta na osnovu JMBG može potencijalno pretraživati druge javne elektronske baze kako bi došao do dodatnih podataka. Takođe, ukoliko neko sazna vaš JMBG, može da se prijavi na različite javne ili privatne elektronske servise koristeći vaš identitet.

Pored direktnog korišćenja ovih podataka, moguća je zloupotreba i socijalnim inženjeringom. Ponekad je dovoljno pozvati neku kompaniju sa kojom imate ugovor i dajući samo ime, prezime i JMBG možete zahtevati dodatne usluge ili ukidanje pojedinih usluga. U pogrešnim rukama, ovi podaci mogu da dovedu do masovne krađe identiteta građana, usled čega će državni organi i privreda morati da preduzmu adekvatne mere kako ne bi došlo do ozbiljnih posledica za građane čiji su podaci kompromitovani.

Interesantno je da se link ka bazi slobodno razmenjivao na Tviteru, gde su ga saradnici SHARE Fondacije uočili. Iako smo prvo pomislili da je možda neko iz same Agencije neovlašćeno dostavio ovaj link nekom, te da ga je ta osoba potom podelila na društvenim mrežama, ispostavilo se da je baza bila pretraživa na pretraživaču Google i da je izgleda svako ko je ukucao svoj matični broj, a prijavio se 2008. godine za besplatne akcije, bio u mogućnosti da slobodno i bez ograničenja pristupi ovoj stranici.

Ako ste se prijavili za besplatne akcije, mogli ste da ukucate svoj matični broj u Google i kao rezultat pretrage biste dobili link ka ovoj bazi.

Za sada nismo upoznati da li je u pitanju neka vrsta bezbednosnog napada ili neprihvatljiva greška zaposlenih u Agenciji, ali smo sigurni da je ovo najveći bezbednosni propust u sferi zaštite informacionih sistema i privatnosti građana koji se desio u novijoj istoriji Srbije. Izvesno je da više niko nije u mogućnosti da odgovori na sledeća pitanja:

Ko je sve došao u posed baze koja sadrži lične podatke 5 190 396 građana Srbije?

Ko je sve došao u posed više od 4 000 drugih dokumenata (ukupne veličine 19 GB) koji pretežno predstavljaju poslovne i finansijske podatke preduzeća u restruktuiranju?

Na koji način će ih (zlo)upotrebiti?

Zabrinjavajuće je da građani trenutno ne znaju koje sve javne institucije prikupljaju njihove podatke, koji se podaci prikupljaju i obrađuju, gde se ti podaci čuvaju, na koji način su zaštićeni, ko tačno ima pristup tim podacima i za koje svrhe (mediji tvrde da više od 300.000 institucija rukuje ličnim podacima građana).

Istraživanjem vlasništva nad IP adresom na kojoj je objavljena ova baza, ustanovljeno je da su se podaci nalazili na serveru na “Veratovoj” mreži. Međutim, nije moguće sa sigurnošću utvrditi u čijem je server posedu. U svakom slučaju, propust koji se dogodio je verovatno na nivou administratora platforme (web stranice) a ne administratora servera ili hosting provajdera.

Nadamo se da će postupak koji je pokrenuo Poverenik otkriti sve aspekte ovog bezbednosnog propusta kako bi se utvrdila odgovorna lica, ali i podigla svest kod zaposlenih u javnom sektoru o odgovornosti za podatke o ličnosti koje čuvaju.

Ukoliko se ispostavi da državni organi nemaju potrebe za spomenutom bazom podataka o ličnosti koja je u posedu SHARE Fondacije, baza će biti izbrisana i neće biti ustupljena trećim licima, niti će na bilo na koji način biti zloupotrebljena od strane Fondacije u skladu sa našom Politikom privatnosti.

Upozoravamo sve koji su eventualno došli do baze sa ličnim podacima građana Srbije da svaka dalja upotreba, preprodaja i ustupanje može biti osnov za krivičnu odgovornost po osnovu  krivičnog dela “Neovlašćeno prikupljanje ličnih podataka” (čl. 146 Krivičnog zakonika).

Privatnost za slabe, transparentnost za moćne

Državni organi prikupljaju veliku količinu različitih podataka, uključujući i podatke o ličnosti, od onih osnovnih do vrlo osetljivih, kao što su podaci o zdravlju, obrazovanju, finansijskom stanju itd. Ovi podaci se čuvaju u informacionim sistemima, što znači da su lako pretraživi i dostupni “ovlašćenim” licima. I pored toga što Zakon o zaštiti podataka o ličnosti podjednako važi i za privatni i za javni sektor, implementacija Zakona je izgleda na mnogo lošijem nivou u javnom sektoru. Javne institucije obično nemaju potrebne procedure kojima bi zaštitile naše lične podatke, niti dovoljno znanja i resursa da bi uspostavili adekvatne bezbednosne mere i svoje poslovanje uskladili sa regulativom.

Zabrinjavajuće je da građani trenutno ne znaju koje sve javne institucije prikupljaju njihove podatke, koji se podaci prikupljaju i obrađuju, gde se ti podaci čuvaju, na koji način su zaštićeni, ko tačno ima pristup tim podacima i za koje svrhe (mediji tvrde da više od 300.000 institucija rukuje ličnim podacima građana). Kako se naročito od početka 21. veka podaci smatraju važnim ekonomskim resursom, nedostatak transparentnosti ograničava odgovornost javnih institucija i omogućava korupciju, posebno u državnim institucijama koje čuvaju osetljive i tržišno vredne podatke ili donose odluke o građanskim pravima automatskom obradom ličnih podataka.

Propusti državnih organa poput ovog moraju biti ispravljeni u što kraćem roku i odgovorna lica moraju snositi pravne posledice u skladu sa Krivičnim zakonikom i Zakonom o zaštiti podataka o ličnosti. Takođe je neophodno što pre preuzeti sve neophodne korake kako bi se podaci građana zaštitili najvišim merama tehničke i organizacione zaštite.

SHARE Fondacija će nastaviti da nadzire usklađenost rada javnih i privatnih rukovalaca podacima o ličnosti sa zakonima i ostalim propisima u ovoj oblasti, kako bi obezbedila zaštitu privatnosti za slabe i transparentnost za moćne.