Etični heker o vdoru v registre uprave za varno hrano: "Te podatke bi težko monetizirali"

Po razkritju nepooblaščenega dostopa v bazo osebnih podatkov skoraj 900.000 prebivalcev, zaradi katerega je odstopila direktorica uprave za varno hrano Vida Znoj, smo se pogovarjali z etičnim hekerjem in strokovnjakom za kibernetsko varnost Milanom Gaborjem.

Po njegovem mnenju – glede na dozdajšnja dejanja tistega, ki je vstopil v sistem – kaže, da ni šlo za zlonamernega hekerja.

Upravo za varno hrano so namreč o ranljivosti baz podatkov obvestili z urada informacijskega pooblaščenca, tega pa je obvestila oseba, ki je v sistem vstopila.

Kot so povedali v uradu informacijske pooblaščenke, je oseba, ki jim je prijavila ranljivost, anonimna, a imajo njen kontakt. Oseba je pristojnim na uradu zatrdila, da so podatki na varnem in da jih je izbrisala. Podatkov doslej niso našli na temnem spletu, niti ni nihče poskušal z njimi izsiljevati ali jih prodajati. Na uradu s prijaviteljem sicer komunicirajo v slovenščini.

"Če ugotoviš ranljivost, imaš dve možnosti. S podatki greš na črni trg in poskusiš nekaj iztržiti, ali pa zadevo prijaviš ustreznim organom. Če bi šlo za zlonamernega hekerja, ta najverjetneje ne bi najprej obvestil informacijskega pooblaščenca," pravi Gabor.

"Te podatke bi težko monetizirali"

Dostopni so bili osebni podatki 873.201 fizične osebe, in sicer ime, priimek, naslov, EMŠO in davčna številka. Gre za podatke oseb, ki so bile vpisane v različne registre, kot so register rejnih živali, kmetijskih gospodarstev, prejemnike kmetijskih subvencij, register hišnih živali in druge.

Po besedah Gaborja EMŠO in davčna številka nista podatka, s katerima bi hekerji zlahka povzročili finančne posledice. "Te podatke bi težko monetizirali," pravi in dodaja, da bi bilo drugače, če bi šlo za številke kreditnih kartic ali gesla za dostope.

Davčna številka, pravi Gabor, sicer velja za tajni podatek. "Vendar če odprete s.p., je ta podatek, skupaj z imenom, priimkom in naslovom, javno objavljen," dodaja.

Zato najverjetneje ne bo prišlo do tega, da bi hekerji s temi podatki izsiljevali njihove imetnike. Druga možnost je, da bi podatke javno objavili, a tudi s tem bi težko zaslužili.

Ker gre za ogromno bazo, skoraj 900 tisoč oseb, pa bi bilo morebitno izsiljevanje tudi praktično zahtevno. "Težko bi izsiljeval vsakega posameznika, saj bi moral poslati 900.000 mailov ali poklicati 900.000 telefonskih številk, ob tem pa bi se povečala možnost, da hekerja odkrijejo," opisuje Gabor.

Telefonske številke in elektronski naslovi sicer po zdajšnjih informacijah niso bili dostopni.

Gabor sicer domneva, da je bil dostop odkrit naključno in da tisti, ki je ranljivost ugotovil in prijavil informacijskemu pooblaščencu, iz baze ni potegnil vseh podatkov 873.201 osebe.

"Gre za ogromno količino podatkov, če bi nekdo potegnil vse podatke ven, bi to tudi trajalo kar nekaj časa. Sistemi za zaznavo napadov bi to morali zaznati. Tako dejanje bi verjetno povzročilo tudi upočasnitev sistemov, tako da bi ga verjetno odkrili," pravi.

"Ko etični hekerji ugotovimo pomanjkljivost v sistemu, običajno ne potegnemo ven cele baze podatkov, ampak le nekaj, da dokažemo ranljivost," opisuje Gabor.

Etične hekerje običajno podjetja in institucije najamejo, da preverjajo varnost informacijskih sistemov. "Taki napadi so del našega dela. Testiramo aplikacije, ali je mogoče dostopati do podatkov, a to počnemo z dovoljenjem," svoje delo opisuje etični heker Gabor.

Oseba, ki je dostopala do registrov uprave za varno hrano, je obvestila pristojne. Poleg informacijskega pooblaščenca je to tudi nacionalni odzivni center za kibernetsko varnost SI-CERT.

"V zakonu o informacijski varnosti je to tako imenovano odgovorno razkritje. Če kdo najde ranljivost, je to pravi način za ukrepanje," še dodaja Gabor.

Kot ključno ranljivost registrov, ki je botrovala nepooblaščenemu dostopu, pa izpostavlja starost sistema, ki so ga postavili leta 2007.