Somalijski veb-sajt za e-vize ima kritičnu bezbednosnu rupu koja omogućava preuzimanje digitalnih viza sa osetljivim ličnim podacima. Al Jazeera je potvrdila ranjivost nakon dojave izvora i reprodukovala propust, pri čemu su podaci desetina osoba iz više zemalja bili izloženi. Somalijske vlasti do sada nisu odgovorile na nova upozorenja, a stručnjaci upozoravaju na rizik od krađe identiteta i obaveštajnih zloupotreba; zakon zahteva obaveštavanje nadležnih tela i pogođenih građana.
Kritična ranjivost somalijskog e‑viznog sistema ugrožava lične podatke hiljada
A Somali immigration official holds up new passports [File: Finbarr O'Reilly/Reuters]
Somalijski veb-sajt za elektronske vize sadrži ozbiljnu bezbednosnu ranjivost koja omogućava preuzimanje digitalnih viza i izloženih ličnih podataka — uključujući podatke iz pasoša, puna imena i datume rođenja. Al Jazeera je ovu slabost potvrdila nakon dojave izvora sa iskustvom u veb-razvoju i uspela je da reproducira propust bez objavljivanja tehničkih detalja koji bi mogli da olakšaju dalja napada.
Šta se desilo
Izvor je Al Jazeeri dostavio informacije i dokaze da je prethodno obavestio somalijske vlasti, ali po njihovim tvrdnjama bez odgovora i bez otklanjanja problema. U kratkom vremenskom periodu istraživači su uspeli da preuzmu e-vize desetina osoba iz više zemalja, među kojima su Somalija, Portugal, Švedska, SAD i Švajcarska.
Prethodno curenje i reakcije vlasti
Ova ranjivost pojavljuje se mesec dana nakon što su SAD i Velika Britanija upozorile na ranije curenje podataka koje je obuhvatilo preko 35.000 podnosilaca zahteva za somalijsku e-vizu. U odgovoru na prethodno curenje, Somalijska agencija za imigraciju i državljanstvo (ICA) promenila je domen sajta i najavila istragu, ali Al Jazeera navodi da na nova upozorenja nije dobila odgovor od somalijskih vlasti.
Pravni i bezbednosni aspekti
„Proboji koji obuhvataju osetljive lične podatke posebno su opasni jer izlažu ljude različitim rizicima, uključujući krađu identiteta, prevaru i prikupljanje obaveštajnih podataka od strane zlonamernih aktera,“
rekao je Bridget Andere, viša analitičarka u organizaciji za digitalna prava Access Now. Andere je podsetila da somalijski zakon o zaštiti podataka nalaže obaveštavanje nadležnog tela i, u situacijama visokog rizika, i pogođenih pojedinaca. Posebnu zabrinutost predstavlja činjenica da su u pitanju državljani različitih zemalja, što uključuje više pravnih jurisdikcija.
Zbog čega je ovo opasno
Objavljivanje tehničkih detalja o ranjivosti pre njenog otklanjanja moglo bi omogućiti dalja napada — zbog toga Al Jazeera nije objavila tehniku napada, a svi osetljivi podaci prikupljeni tokom istrage su uništeni radi zaštite privatnosti pogođenih osoba.
Preporuke za pogođene
Stručnjaci savetuju: pratite obaveštenja iz svojih ambasada, proveravajte moguće neautorizovane aktivnosti na računima, budite oprezni zbog potencijalnih phishing poruka i razmotrite privremenu zaštitu ličnih dokumenata ako postoji sumnja na zloupotrebu podataka.
Zaključak: incident ukazuje na rizike brzog uvođenja digitalnih servisa bez adekvatne provere bezbednosti. Dok traje istraga i dok vlasti ne otklone propust, rizik od zloupotrebe podataka ostaje visok.
Pomozite nam da budemo bolji.
