Меню Затваряне

Държавни регистри без HTTPS позволяват кражба на личните ви данни

keyboardСкандалът с подписките за регистрация на партии за евроизборите извади на показ немарливостта на държавата по отношение на личните данни на гражданите. Бърза проверка показва, че това не е единствения пример за небрежно отношение към чувствителна информация.

Повод за тази статия стана сигнал в групата „Маркетинг и уебмастърство“ във Facebook, според който регистърът на завършилите студенти към Министерство на образованието работи с некриптирана връзка. Регистърът изисква въвеждането на ЕГН, за да покаже вашия образователен статус. Проблемът е, че ако интернет трафикът ви се следи, тази информация е видима за „подслушвачите“.

Направих тест – въведох ЕГН-то си и си направих проверка, докато в същото време следях трафика си с програмата за анализ на интернет трафик Wireshark. Тя веднага прихвана подаденото от мен ЕГН.

UPDATE: След като авторът на сигнала подаде жалба в Комисията за защита на личните данни, към днешна дата проблемът е отстранен и регистърът вече по подразбиране се отваря с HTTPS. Това обаче се случи едва след подаден специално сигнал до КЗЛД. Ами ако не беше подаден?

Как това може да ви навреди? Трафикът в локалната мрежа, която използвате – било то безжична или стационарна – може да се следи от недоброжелатели. Ако например решите да направите справка за себе си в регистъра на МОН, използвайки публична wifi мрежа, тези недоброжелатели могат да прихванат вашето ЕГН. Това са лични данни, чийто достъп би следвало да е ограничен. На практика обаче тези данни не са защитени от т.нар. крадци на курабийки.

Направих проверка на още няколко регистъра, които изискват въвеждането на лични данни. Оказа се, че доста от тях също не използват криптирана връзка по подразбиране – например регистъра за проверка валидността на личните документи и имотния регистър. Имаше и такива – например регистрите на НОИ и за проверка на здравноосигурителния статус – които бяха защитени с https. Това е абривиатура на най-масово използвания протокол за криптиране в интернет. HTTPS се използва по подразбиране от повечето онлайн услуги и е задължителен при банките и техните сайтове за онлайн банкиране, както и сайтовете за разплащания и онлайн магазините.

Наличието на криптирана връзка би трябвало да е задължително за всеки сайт, който борави с чувствителни лични данни. Така че  посочените долу примери са сериозни недоглеждания в предлаганите от държавата електронни услуги, които биха могли да представляват риск за личните данни на гражданите.

Регистър на завършили студенти – за да проверите статуса си (образователна степен, учебно заведение и т.н., трябва да въведете ЕГН. Връзката не е криптирана. Същото важи за регистъра на действащите и прекъснали студенти.

Справка за български лични документи – Регистър към МВР, който проверява дали даден документ за самоличност е валиден. Връзката е незащитена и ако интернет трафикът ви се следи и решите да проверите валидността на личната си карта например, подслушвачите могат да разберат номера на личната ви карта.

Кадастър и имотен регистър – Съдържа информация за имотната собственост на гражданите. Имотният регистър е важен инструмент и източник на информация за работата на юристи, полицаи, данъчни, журналисти, одитори и т.н. За да се регистрирате, трябва да предоставите лични данни като ЕГН, телефон и адрес. Достъпът до регистъра е платен, така че освен че получават достъп до вашия профил и личните ви данни, крадците на курабийки могат да използват  услугата, източвайки парите по сметката към вашия профил.

Регистър на имуществените отношения на съпрузите – Показва договорните отношения и собствеността между сключилите граждански браг граждани. Достъпът е платен, поради което и тук важи казаното за Имотния регистър.

Регистърът на длъжниците на НАП – Показва списък на длъжниците на НАП. Въпреки че информацията в този регистър е публична, някои данни като ЕГН са скрити. Само че връзката към регистъра не е криптирана, което позволява на трети лица да видят кои са ЕГН-тата, които се въвеждат като критерий за търсене.

Списъкът едва ли е изчерпателен – вероятно има и други подобни примери. Ако вие можете да посочите такъв, моля направете го в коментарите.

Related Posts

Вашият коментар

Вашият имейл адрес няма да бъде публикуван. Задължителните полета са отбелязани с *