Spletni portal Slo-Tech razkriva, da je imelo podjetje Telemach še do pred kratkim napačno nastavljene e-poštne strežnike. Prometni podatki elektronskih sporočil – torej informacije o tem, kdo je ob kateri uri komu poslal elektronsko sporočilo in s katerega naslova IP (prek slednjega je mogoče ugotoviti uporabnikovo lokacijo) – so bili tako prosto dostopni prek spletnega naslova. Z obiskom tega mesta je bilo s preprostim vnosom iskalnega ključa mogoče dostopati do tovrstnih podatkov več kot 10.000 uporabnikov Telemachove elektronske pošte.
»Navedena dejanja štejejo za osnove omrežne varnosti in jih gre pričakovati od vsakega, kolikor toliko kompetentnega podjetja, ki želi ponujati storitve prek spleta. Težko je gledati, da zanje niso poskrbeli pri operaterju, ki ima v skladu z zakonom in pričakovanji javnosti še mnogo večjo dolžnost, da za sporočila svojih strank skrbi kot dober gospodar,« so zapisali na Slo-Techu.
IP po prijavi ni ukrepal, to je storil šele, ko so se o primeru razpisali mediji.
Informacijski pooblaščenec zadevi ni bil kos
Kot drug problem se izpostavlja informacijsko nepismenost informacijskega pooblaščenca. Neimenovani uporabnik interneta, ki je portal Slo-Tech obvestil o zadevi, se je namreč sprva obrnil na urad IP. Ta pa mu je v svojem dopisu še isti dan odgovoril, da nimajo tehničnega znanja, potrebnega za kontrolo prijave. Ko jim je uporabnik posredoval točna navodila, kako naj dostopajo do spletnega mesta, pa so mu nekaj dni pozneje odgovorili, da s tem ni nič narobe, saj »Google teh podatkov ni poindeksiral«.
Slednje so nam v uradu IP potrdili s pojasnilom, da navedba, da lahko do podatkov dostopa vsak z dostopom do interneta, ne drži. »Do tega namreč lahko pride samo tisti, ki pozna točno določen spletni naslov in tudi natančno ve, katero konkretno programsko orodje je treba pri tem uporabiti,« so pojasnili in dodali: »Državni nadzornik je zato utemeljeno ocenil, da ni mogoče vedeti, ali gre za kršitev obdelave osebnih podatkov ali ne oziroma ali je prijava utemeljena.«
Portal Slo-Tech glede odziva informacijskega pooblaščenca: "Ker uporabniški podatki niso dosegljivi tudi prek Googla, po mnenju pooblaščenca očitno niso javno dostopni."
Priznali varnostno tveganje
Telemach je na svoji spletni strani uporabnike obvestil o varnostnem tveganju, v katerem so potrdili navedbe portala Slo-Tech. »Telemach je v skladu s postopki za zagotavljanje varnosti in celovitosti ter sprejeto varnostno politiko družbe požarno pregrado strežnika nemudoma ponovno vzpostavil in bo nadaljeval postopke aktivnega spremljanja varnostnih tveganj z notranjo in zunanjo presojo ustreznosti,« so zapisali.
Majhna verjetnost, da baza ni bila zlorabljena
»Množica tako dobronamernih varnostnih raziskovalcev (kot je bil najbrž ta prijavitelj) kot tudi zlonamernih posameznikov ves čas 'skenira' svetovni splet v iskanju točno takih varnostnih lukenj. Posledično je verjetnost, da ta baza ni bila zlorabljena (s strani tretje osebe, ki je napako našla na isti način), zelo majhna,« ocenjuje sekretar Piratske stranke Rok Andrée.
Neprimeren odziv IP Andrée pripisuje »sistemski kadrovski podhranjenosti naših nadzornih institucij«. Pirati zato od vlade pričakujejo, da po »hitrem postopku zagotovi potrebne finančne in kadrovske vire, ki bodo IP omogočili soočanje, nadzor in reševanje takšnih prijav«.
»IP dnevno dobi večje število prijav, nekatere od teh niso utemeljene ali so celo namerno zavajajoče, čas, ki ga je mogoče nameniti preverjanju navedb posamezne prijave, pa je omejen,« je tokratni relativni zdrs pojasnil Jože Bogataj, namestnik informacijske pooblaščenke.
