Neki od prvih postova na ovom blogu bili su posvećeni ugrožavanju privatnosti građana Srbije od strane državnih institucija:
Kako ugrožavanje privatnosti utiče na sigurnost i povećava rizik od prevare (slučaj APR-a)
Država vs. Privatnost vs. Sigurnost (vol. 2)
U tim postovima je demonstrirano na koji način ugrožavanje privatnosti direktno ugrožava i sigurnost građana.
Gotovo tri godine kasnije, umesto da pišemo o pomacima i pozitivnim rezultatima u zaštiti privatnosti i primeni Zakona o zaštiti podataka o ličnosti, imamo poptuno suprotnu situaciju.
Država aktivira novi servis, registar neplaćenih novčanih kazni, a u ovom postu videćemo kako zapravo aktiviramo još jedan oblik ugrožavanja privatnosti građana.
Šta je zapravo u pitanju? Kako su mediji preneli:
Kako “Blic” saznaje, svi prekršajni sudovi sada su umreženi, a sistem je povezan i sa ostalim organima, zasad sa Upravom za trezor, Upravom saobraćajne policije i Centralnim registrom obaveznog socijalnog osiguranja. Unosom imena, prezimena i jedinstvenog matičnog broja u prazna polja aplikacije građani će moći da vide da li imaju neki neplaćeni prekršaj, kao i da dobiju instrukcije za uplatu kako bi izmirili obaveze. Građani koji imaju neplaćeni prekršaj biće onemogućeni da dobiju određene dozvole, uključujući i vozačku ili saobraćajnu dozvolu.
U čemu je problem?
Problem je u boldovanom delu. Unos imena, prezimena i JMBG-a nije dovoljan način autentifikacije imajući u vidu osetljivost podataka koji će se nalaziti na ovom portalu.
Zašto JMBG nije dobar?
JMBG je definitivno „provaljen“ 11. decembra 2014. godine na sajtu Agencije za privatizaciju „objavljeno“ je preko 5 miliona JMBG brojeva građana Srbije zajedno sa imenom i prezimenom kao i brojem tekućeg računa.
Poverenik je odreagovao i pokrenuo postupak, međutim odgovorni za ovakav incident izgleda da ne postoje. Tako će biti sve dog dok podobnost bude imala primat nad sposobnošću.
Ovaj incident, možda jedan od najvećih infosec incindenata u Srbiji, ostao je medijski gotovo potpuno nepropraćen.
Moja pretpostavka je da većina građana zapravo nikada nije čula sa ovaj incident.
„Posledice“ neadekvatnog uvođenja registra neplaćenih kazni
Kombinovanje informacija iz različitih izvora, njihova analiza, upoređivanje i dopunjavanje je nešto što, između ostalog, istraživači bezbednosti vrlo dobro rade.
Sa jedne strane imamo bazu od 5 miliona JMBG brojeva zajedno sa uparenim imenima i prezimenima. Sa druge strane imamo bazu gde možemo, na osnovu JMBG broja i imena i prezimena, proveriti da li imamo neko dugovanje.
Uz malo slobode možemo napisati sledeće: registar neplaćenih novčanih kazni je javni registar
Kakve to posledice po samog građanina može da ima činjenica da bilo ko može proveriti njegov prekršajni „status“ mislim da je izlišno i govoriti.
Da li je to država sebi dala za pravo da na javni stub srama stavi svakog građanina koji nije na vreme platio kaznu po nekom prekršajnom nalogu?