Anonymous uresničil grožnjo – Hekerski napad na podatkovno bazo spletnega portala Nova24TV – Poleg že objavljene baze 3,6 GB naj bi se dokopali do več kot 116GB občutljivega materiala s strežnika omenjene medijske hiše
Kot je potrdil spletni portal Slo-Tech je slovenski del hekerske skupine Anonymous včeraj zjutraj na svojem Twitter računu objavil povezavo do datoteke s 3.6GB zaupnih podatkov s strežnika spletnega časopisa Nova24TV (znani kot “prvi v službi resnice”).
Novinar Matej Kovačič v članku “Anonymous napadel Novo24TV ” piše, da so, kot kaže, člani skupine uspeli vdreti v njihov strežnik ter si kopirati celotno podatkovno bazo oziroma so se na kakšen drug način prikopali do kopije omenjene baze. S tem so odtujili podatke o vseh registriranih uporabnikih spletnega časopisa: njihove e-poštne naslove, IP naslove, imena, vzdevke, čase prijave, ipd. Z objavo teh podatkov so tako v bistvu razkrili identiteto številnih uporabnikov portala Nova24TV. Kot kaže hitri pregled vsebine baze, se v njej nahajajo tudi gesla, vendar v šifrirani obliki (oz. v obliki tim. kontrolnih vsot), zato njihova neposredna zloraba ni mogoča.
Anonymous ne skriva, da je bil njihov namen škodovati desnici, saj jo v tvitu opisujejo kot “faš* kriminalce”, ki jih je treba ustaviti pri njihovem cilju “uničenja svobode in demokracije”. Dodajajo pa še, da je omenjena kopija baze samo začetek, saj naj bi posredovali še več kot 100GB občutljivega materiala s strežnika.
Navedeno je precej zaskrbljujoče, saj kaže, da se je do morebitnega vdora prišlo že pred več kot pol leta, glede na to, da med razkritimi podatki ni nobenih, ki bi bili mlajši od letošnjega januarja. Poleg tega je iz kopije podatkov razvidno, da je bila izvedena konec januarja letos (Dump completed on 2020-01-30 6:01:00).
Ob tem se zastavlja vprašanje, ali so na Nova24TV morda že takrat zaznali incident ter, ali so o tem obvestili Informacijskega pooblaščenca in prizadete posameznike, kot bi v skladu z GDPR v tako resnem primeru po vsej verjetnosti morali storiti? Vprašanje je tudi, ali ima Anonymous morda že več kot pol leta dostop do strežnika, Nova24TV, pa administratorji strežnika tega sploh še niso opazili? Obstaja pa tudi možnost, da se je kopija baze samodejno delala na kakšen slabo zavarovan ali pa celo kar javno dostopen arhivski strežnik, kjer so Anonymousi po naključju naleteli nanjo… Na to konec koncev nakazuje tudi zadnja vrstica v kopiji baze, iz katere je razvidno, da je bil izpis baze opravljen ob 6:01:00. To bo torej še treba razčistiti.
Pooblaščenko zdaj vsekakor čaka zelo naporen vikend. Nujno morajo obiskati sedež spletnega portala in zavarovati vse dokaze o obdelavah osebnih podatkov, da ti ne bi slučajno izginili. Prav tako jih čaka obisk sodišča, da dobijo odredbo za odstranitev objavljene kopije baze s spleta ali pa vsaj omejitev dostopa do nje.
Veliko dela pa bo, kot kaže, tudi za administratorje Nova24TV. Za začetek lahko za obiskovalce pripravijo obvestilo skladno s 13. členom GDPR in 14. členom (disqus), v katerem bodo navedli kategorije osebnih podatkov, ki jih zbirajo, na kateri pravni podlagi, kakšen je namen njihove obdelave ter kolikšen je rok hrambe. Do sedaj namreč takšnega obvestila na njihovi spletni strani nismo uspeli zaslediti. Zanimivo bo videti tudi obvestilo o zlorabi osebnih podatkov (“breach notification”), ki ga prav tako predvideva GDPR. priše portal Slo-Tech.
