Slotech - Anonymous napadel Novo24TV

Slovenski del hekerske skupine Anonymous je danes zjutraj na svojem Twitter računu objavil povezavo do datoteke s 3.6GB zaupnih podatkov s strežnika spletnega časopisa Nova24TV (znani kot "prvi v službi resnice"), na portalu Slotech poroča varnostni raziskovalec Matej Kovačič.

Kot kaže, so člani skupine uspeli vdreti v njihov strežnik ter si skopirati celotno podatkovno bazo oz. so se na kakšen drug način prikopali do kopije omenjene baze. S tem so odtujili podatke o vseh registriranih uporabnikih spletnega časopisa: njihove e-poštne naslove, IP naslove, imena, vzdevke, čase prijave, ipd. Z objavo teh podatkov so tako v bistvu razkrili identiteto številnih uporabnikov portala Nova24TV. Kot kaže hitri pregled vsebine baze, se v njej nahajajo tudi gesla, vendar v šifrirani obliki (oz. v obliki tim. kontrolnih vsot), zato njihova neposredna zloraba ni mogoča.
Anonymous ne skriva, da je bil njihov namen škodovati desnici, saj jo v tvitu opisujejo kot "faš******* kriminalce", ki jih je treba ustaviti pri njihovem cilju "uničenja svobode in demokracije". Dodajajo pa še, da je omenjena kopija baze samo začetek, saj naj bi posedovali še več kot 100GB občutljivega materiala s strežnika.
Navedeno je precej zaskrbljujoče, saj kaže, da se je do morebitnega vdora prišlo že pred več kot pol leta, glede na to, da med razkritimi podatki ni nobenih, ki bi bili mlajši od letošnjega januarja. Poleg tega je iz kopije podatkov razvidno, da je bila izvedena konec januarja letos (*Dump completed on 2020-01-30 6:01:00*).

Ob tem se zastavlja vprašanje, ali so na Nova24TV morda že takrat zaznali incident ter, ali so o tem obvestili Informacijskega pooblaščenca in prizadete posameznike, kot bi v skladu z GDPR v tako resnem primeru po vsej verjetnosti morali storiti? Vprašanje je tudi, ali ima Anonymous morda že več kot pol leta dostop do strežnika, Nova24TV, pa administratorji strežnika tega sploh še niso opazili? Obstaja pa tudi možnost, da se je kopija baze samodejno delala na kakšen slabo zavarovan ali pa celo kar javno dostopen arhivski strežnik, kjer so Anonymousi po naključju naleteli nanjo... Na to konec koncev nakazuje tudi zadnja vrstica v kopiji baze, iz katere je razvidno, da je bil izpis baze opravljen ob 6:01:00. To bo torej še treba razčistiti.
Pooblaščenko zdaj vsekakor čaka zelo naporen vikend. Nujno morajo obiskati sedež spletnega portala in zavarovati vse dokaze o obdelavah osebnih podatkov, da ti ne bi slučajno izginili. Prav tako jih čaka obisk sodišča, da dobijo odredbo za odstranitev objavljene kopije baze s spleta ali pa vsaj omejitev dostopa do nje.
Veliko dela pa kot kaže tudi administratorje Nova24TV. Za začetek lahko za obiskovalce pripravijo obvestilo skladno s 13. členom GDPR in 14. členom (disqus), v katerem bodo navedli kategorije osebnih podatkov, ki jih zbirajo, na kateri pravni podlagi, kakšen je namen njihove obdelave ter kolikšen je rok hrambe. Do sedaj namreč takšnega obvestila na njihovi spletni strani nismo uspeli zaslediti. Zanimivo bo videti tudi obvestilo o zlorabi osebnih podatkov ("breach notification"), ki ga prav tako predvideva GDPR.

Matej Kovačič, Slotech